PicoCTF es una plataforma gratuita de prácticas y aprendizaje de ciberseguridad creada por la Universidad Carnegie Mellon en 2013. Entre los patrocinadores de picoCTF se encuentran Boeing y la Universidad Tecnológica Nanyang de Singapur. Además su desarrollo fue apoyado en diferentes etapas por Cisco, la NSA y la NSF.

Se trata de una serie de desafíos de seguridad informática donde los aprendices pueden practicar diferentes habilidades en entornos controlados. Las categorías de sus retos son: explotación web, criptografía, ingeniería inversa, forense digital, habilidades generales, y explotación binaria.

Además de los retos, la plataforma cuenta con una extensa biblioteca de recursos para estudiar los temas y conceptos que se ponen en práctica durante los retos. Entre los recursos encontraremos una comunidad de Discord, videos en Youtube y la Primer: un gran recurso textual que explica temas desde qué es una shell hasta algunos conceptos básicos de ensamblador.

Para acceder a estos recursos es necesario crear una cuenta y esto es tan sencillo como ir a su web https://picoctf.org/ y dar click en opción “Log in” en la parte superior. Se desplegará un formulario de inicio de sesión. Para crear una cuenta deberemos dar click en la esquina inferior izquierda del formulario, sobre el texto azul que dice “Sign Up”. Llenamos los datos del siguiente formulario y terminamos presionando el botón “Sign Up” de la parte inferior. Finalmente, para que la cuenta sea operativa tendremos que confirmar nuestra dirección de correo electrónico a través de un enlace que nos enviarán ahí. Una vez hecho esto, podremos volver a la web e iniciar sesión con el usuario que registramos y la contraseña.

Al acceder veremos algo como esto:

La flecha morada apunta a los recursos de aprendizaje que ya mencioné. Las azules, por su parte, indican la sección de retos: ahí podremos filtrar los retos por dificultad y categoría como se observa en la parte izquierda de la imagen. La flecha roja apunta a una subsección de la pestaña “practice” donde encontraremos retos reunidos en rutas de aprendizaje, esto al conjuntarlo con los apuntes Primer de la pestaña “Learn” se convierte en un poderoso recurso para entender la seguridad y cómo funciona. Finalmente, la flecha verde apunta a una pestaña llamada “Web Shell”, al dar click en ella se nos prestará una shell interactiva que sirve para resolver los retos en caso de no contar con una consola en nuestro equipo o en caso de no poder usar nuestra propia consola por motivos de privilegios, por ejemplo.

En picoCTF no hay laboratorios de acceso remoto vía VPN (si no sabes de qué hablo date una vuelta a la guía de inicio a los retos CTF). La mayoría de los laboratorios son de descarga de archivos, aunque hay algunos donde se lanza una servicio web temporal (usualmente durante 15 minutos) con el que podremos interactuar sin necesidad de estar en la misma red.

Ahora bien, para lanzar un reto bastará con dar click sobre el recuadro del reto y leer las instrucciones. Lamentablemente, picoCTF no está en español, pero siempre podremos copiar las instrucciones y pegarlas en el traductor del navegador.

Para esta pequeña guía introductoria, con esta información será suficiente para comenzar. En misapuntesdepentesting.com estaremos utilizando la sección “Challenges” de la pestaña “Practice” para las guías y, ocasionalmente, usaré los apuntes Primer como fuente de información.

¡Felices jakeos!

Abracitos,

Tlacaele1