UNIVERSIDAD TECNOLÓGICA BOLIVIANA

DIPLOMADO HACKING ÉTICO Y CIBERINTELEGENCIA

EMPRESARIAL

Examen
INTEGRANTES:
1.- Frank Jarol Mamani Cerruto
2.- Yhovani Cutile Quispe
3.-Juan Brayan Montes Chura
4.- Víctor Alejandro Villarreal Arandia
5.- Rodrigo Duarte Tudela

Modulo V: CIBERSEGURIDAD ETHICAL HACKING

La Paz – Bolivia
2022
 EXAMEN PRACTICO – GERRAS DE BANDIT
Este juego, como la mayoría de los otros juegos, está organizado en niveles.
Empiezas en el Nivel 0 e intentas “superarlo” o “terminarlo”. Terminar un nivel
da como resultado información sobre cómo comenzar el siguiente nivel.

 Nivel 0 Bandit

 Bandit1 contraseña para el nivel 1

 Bandit2 contraseña para el nivel 2

 Bandit2 contraseña para el nivel 3

 Bandit3 contraseña para el nivel 4

 Bandit4 contraseña para el nivel 5

 Bandit5 contraseña para el nivel 6

 Bandit6 contraseña para el nivel 7

 Bandit7 contraseña para el nivel 8

 Bandit8 contraseña para el nivel 9

 Bandit9 contraseña para el nivel 10

  Bandit Nivel 10

NATAS
Natas 0-1

Para encontrar la contraseña para el Natas1 inspeccionamos el código fuente.

La contraseña es: g9D9cREhslqBKtcA2uocGHPfMZVzeFK6
Natas 1-2

Al tener el click derecho inhabilitado, presionamos F12 para revelar el código

fuente y obtener la contraseña del Natas2.
La contraseña es: h4ubbcXrWqsTo7GGnnUMLppXbOogfBZ7
Natas 2-3
Al ingresar al código fuente no encontramos una contraseña, pero encontramos
el directorio de una imagen y procedemos a revisarlo.

Encontramos un archivo users.txt. Ingresamos y encontramos la contraseña

para Natas3.

La contraseña es: G6ctbMJ5Nb4cbFwhpMPSvxGHhQ7I6W8Q

Natas 3-4
Al revisar el código fuente vemos que un mensaje nos dice “No más fuga de
información, ni siquiera en Google.”. Esto nos indica que no hay información
indexada en google, y para lograr esto, se utiliza el archivo robots.txt. Este le
“enseña” a los motores de búsqueda que información indexar.
aquí vemos que el directorio real y procedemos a
revisarlo.

Encontramos el archivo users.txt, lo revisamos y encontramos la contraseña

para el siguiente Natas.

La contraseña es: tKOcJIbzM4lTs8hbCmzn5Zr4434fGZQm

Natas 4-5
En esta parte vemos que nos muestra un mensaje que dice “Acceso no
permitido. Estás visitando desde "" mientras que los usuarios autorizados
deben venir solo desde "http://natas5.natas.labs.overthewire.org/".

Al hacer click en Refresh Page vemos que el mensaje cambia incluyendo la

dirección del natas4.
Para resolver esto revisaremos la comunicación que se genera mediante la
opción inspeccionar (clic derecho > Inspeccionar> Network), vemos que en
el encabezado del mensaje GET que se genera al hacer clic en Refresh page,
se indica el Header en la sección Request Headers en la fila Referer, este
especifica la dirección de la página anterior desde la que se accedió a la actual:
Vemos que la dirección de la página anterior de la cual se accedió es la de
natas4.
Para poder modificar este campo y enviar la información solicitada para obtener
la contraseña, usamos un Interception Proxy (también puede ser mediante
algún script). Un Interception Proxy es una herramienta que permite capturar la
comunicación cliente/servidor, analizarla, y poder modificarla. Dentro de estas
herramientas, se encuentran: Burp Suite en su versión Community.

Interceptamos la comunicación enviada por el navegador, y ahora podemos

modificar el Header Referer con la información especificada en el reto. Una vez
modificado el encabezado, le damos clic en Forward:

Y al enviar el mensaje modificado, vemos que en nuestro navegador aparece la

contraseña para natas5.
La contraseña es: Z0NsrtIkJoKALBCLi5eqFfcRN82Au2oD
Y finalmente logramos entrar a Natas5: