Hack The Box (HTB) corresponde a una plataforma de desafíos CTF que busca el entrenamiento de las habilidades de hacking ético. Resulta ser un entorno muy completo y con una gran variedad de contenidos que se estructuran en distintas secciones dentro de su página web. En los siguientes apartados se exponen los elementos más relevantes de la plataforma principal así como la estructura de su contenido. De forma adicional, se comenta el nivel de acceso a los contenidos que el usuario posee según el tipo de suscripción.

Usuarios

Dentro de HTB existen tres posibles planes de suscripción que tienen sus características oportunas y limitan los accesos del usuario. Las diferencias más relevantes entre estos tres tipos vienen expuestas de forma visual a través la siguiente tabla.

En HTB los usuarios se clasifican en rangos que dependen del porcentaje de máquinas y desafíos activos resueltos. En base a dicho porcentaje se asignarán los siguientes rangos mostrados a continuación.

• Noob >= 0%
• Script Kiddie > 5%
• Hacker > 20%
• Pro Hacker > 45%
• Elite Hacker > 70%
• Guru > 90%
• Omniscient = 100%

Independientemente del tipo de usuario y su rango, estos podrán formar parte de un equipo o de una universidad, aunque para la creación de un equipo se debe poseer como mínimo el rango de Hacker. Un usuario también tendrá un número de puntos asociado que vendrá determinado por la cantidad de desafíos y máquinas resueltas, así como un conjunto de badges que se obtienen cuando se alcanza un determinado objetivo.

El contacto con la comunidad y la comunicación entre usuarios está permitida dentro de HTB a través de distintos canales.

• Mensajes privados. A través de esta sección se pueden enviar mensajes privados a cualquier usuario de la plataforma.
• Foros. Mediante estos se pueden abrir hilos de discusión sobre temas que afectan a la plataforma, resolución de máquinas, desafíos, etc.
• Discord. Funciona de una forma similar a los foros pero con secciones de discusión ya establecidas.
• Shoutbox. En este apartado se publica todo aquello relevante que un usuario cualquiera obtiene o realiza. También permite enviar mensajes que podrán ser leídos por todos los miembros de HTB.

Máquinas y desafíos

HTB estructura las máquinas y desafíos en distintas secciones y formatos. Una forma de agrupar máquinas son los laboratorios, los cuales tendrán una o varías máquinas conectadas entre sí bajo una misma red. A continuación se explican las distintas secciones de HTB que poseen contenidos CTF.

Starting Point. Corresponde a un conjunto de máquinas muy sencillas agrupadas en 3 niveles y enfocadas especialmente a principiantes. Cada máquina contendrá una serie de etiquetas que indican las tecnologías que se encuentran en ella y un conjunto de pasos que guían el camino hasta la obtención del flag root. En cada uno de estos pasos se deberán introducir los datos correctos para desbloquear el siguiente. Conforme se avanza de nivel, aumenta la dificultad de resolución. La transición al siguiente nivel es posible cuando se han completado todas las máquinas de acceso gratuito o el nivel entero. Este apartado busca como objetivo final que el usuario se inicie en el entorno de HTB y realice un contacto con las máquinas de la plataforma.

Tracks. Se trata de un conjunto de desafíos y máquinas retiradas o activas que tocan una determinada temática. Estos Tracks pueden ser creados por usuarios, compañías o universidades. Actualmente existen Tracks basados en temas como explotación de impresoras, explotación de sistemas Android, directorio activo o deserialización entre otros.

Fortresses. Se tratan de una serie de laboratorios que tienen la peculiaridad de estar creados por empresas. Cada laboratorio contiene una secuencia de desafíos relacionados con la máquina expuesta a través de una IP. Estos desafíos deben ser completados de forma secuencial con la introducción de la flag correspondiente y la resolución de cada uno de ellos otorgará una puntuación al usuario. Aunque el acceso a los Fortresses es gratuito, no se pueden realizar hasta que un usuario no alcanza el rango Hacker.

Endgames. A esta sección pertenecen una serie de laboratorios que simulan escenarios del mundo real. Estos laboratorios pueden estar compuestos por una o más máquinas y la resolución completa del laboratorio está formada por una serie de desafíos secuenciales relacionados con ellas. La resolución de cada desafío mediante la inserción de la flag adecuada dará al usuario una cantidad de puntos determinada. Cada laboratorio posee un primer punto de introducción que presenta los temas y tecnologías que se van a tratar en el mismo.

Los Endgames retirados serán accesibles por los usuarios Vip y Vip+ y contendrán writeups de forma didáctica. El acceso a los Endgames activos solo estará permitido a los usuarios de rango Guru o superior independientemente del tipo de suscripción.

Pro Labs. Esta serie de laboratorios corresponden a redes cerradas en las que se encuentran un gran número de máquinas vulnerables que simulan un entorno real. Los laboratorios están calificados según un nivel de dificultad y en cada uno se indican las habilidades que se mejorarán tras su realización. Los Pro Labs siguen el esquema común de los laboratorios de HTB y se construyen en base a desafíos secuenciales que otorgan puntos. El progreso en un Pro Lab por parte de los usuarios provoca la adquisición de badges. De forma aislada al resto de laboratorios, el acceso a cada Pro Lab se concede bajo una suscripción anual o mensual. Tras completar un laboratorio entero, se le entregará un certificado de finalización al usuario.

Machines. Esta sección almacena todas las máquinas activas y retiradas disponibles para ser atacadas. Estas son categorizadas según el nivel de dificultad, el cual puede ser easy, medium, hard o insane. La puntuación otorgada por la resolución de una máquina en cada nivel es de 20, 30, 40 y 50 puntos respectivamente. Para cada máquina existe una flag usuario y una flag root que tendrán que ser introducidas en la plataforma para darla por completada. Adicionalmente, se pueden obtener insignias tanto user bloods como system bloods. Este tipo de insignias se consiguen cuando un usuario es el primero dentro de toda la plataforma en obtener la flag usuario o la flag root respectivamente. Las máquinas retiradas tendrán disponibles writeups para su lectura.

Challenges. Los desafíos disponibles y retirados se encuentran en esta sección. Para los desafíos existen los niveles very easy, easy, medium, hard e insane aunque a diferencia de las máquinas la puntuación obtenida puede variar. Existen desafíos de diversos temas como hardware, criptografía o reversing, los cuales siguen un modelo de resolución CTF con una sola flag a conseguir. De forma similar a los user bloods y system bloods, con los desafíos también se pueden conseguir challenge bloods cuando un desafío no ha sido resuelto por ningún otro usuario.

Battlegrounds. Consiste en un modo de juego online en el cual dos equipos de 1, 2 o 4 jugadores luchan por defender y atacar varias máquinas. Actualmente existen dos modos, Server Siege y Cyber Mayhem.

• Server Siege. Se trata de un conjunto de máquinas en las que dos equipos compiten por explotarlas mientras evitan que el otro equipo lo haga. El equipo ganador será aquél que haya obtenido más puntos una vez expire el tiempo o el que haya obtenido más cuentas de usuario y sistema.
• Cyber Mayhem. En este modo se despliegan dos conjuntos de máquinas con vulnerabilidades y se asignan a cada equipo un conjunto de estas para defenderlas. El equipo defenderá el grupo de máquinas que se le ha asignado y atacará las máquinas del equipo rival. Los puntos que determinan el equipo ganador se obtienen introduciendo las flags de las máquinas rivales o manteniendo las máquinas del equipo activas y funcionales.

Contenido informativo

Algunas de las secciones de la plataforma se encuentran más enfocadas en mostrar contenido informativo y no didáctico. Este grupo lo forman las siguientes secciones.

Careers. Este apartado está dedicado al mercado laboral y se encuentra compuesto por dos subapartados. En uno de ellos se localizan ofertas de trabajo y en el otro se muestran las empresas de ciberseguridad que publican estas ofertas dentro de la plataforma.

Rankings. En este sitio se listan varios tipos de rankings cuyo orden está basado en los puntos obtenidos tanto en desafíos como en máquinas. Los rankings están dedicados a equipos, países, universidades, Pro Labs y usuarios. Para estos últimos proporcionan los rankings Hall of fame y Vip. La diferencia entre estas dos clasificaciones es que la primera tiene en cuenta todos los puntos obtenidos de los desafíos y máquinas activas y la segunda valora los puntos obtenidos en todos los desafíos y máquinas publicadas hasta el momento. Cabe destacar que en el ranking Vip solo vendrán evaluados los usuarios Vip y Vip+.

El cálculo total de los puntos de un usuario con los cuales se determina la posición dentro del ranking de Hall of fame, así como su puntuación actual, viene dada por la siguiente fórmula.

puntosTotales = (userOwnPoints + systemOwnPoints + challengeOwnPoints + fortressOwnPoints + endgameOwnPoints + userBloodPoints + systemBloodPoints + challengeBloodPoints) * ownershipPercentage