http://www.dvwa.co.uk/index.php
http://www.computersecuritystudent.com/SECURITY_TOOLS/DVWA/DVWAv107/lesson1/index.html

que son los hash y como descifrarlos
https://youtu.be/6hhtBRSJdtM

http://www.computersecuritystudent.com/SECURITY_TOOLS/DVL/lesson2/

Para descargar. (la web original ya no esta)
https://www.vulnhub.com/entry/damn-vulnerable-linux-dvl-15-infectious-disease,1/

Por fin !!! Para redirigir trafico a la mv.
el servidor solo escucha en la 127.0.0.1 luego uso la redireccion de puertos de virtualbox + socat
En virtualbox voy a configuracion => adaptador1 => avanzadas => reenvio de puertos
y creo una regla: IP_anfitrion: 127.0.0.1:8888 a IP_invitado: 10.0.2.15:88
y luego un socat para pasar el puerto 88 a 127.0.0.1:80
socat -d tcp-listen:88,fork tcp:127.0.0.1:80 &
webgoat start80 &

ya puedo navegar a http://127.0.0.1:8888/WebGoat/attack
desde el anfitrion

y ya puedes probar la lecion del curso
http://www.computersecuritystudent.com/SECURITY_TOOLS/DVL/lesson2/index.html

Intento HTTP Splitting
http://127.0.0.1:8888/WebGoat/attack?Screen=59&menu=50

Inserto: en%0aContent-Length:%200%0a%0aHTTP/1.1%20200%20OK%0aContent-Type :%20text/html%0aContent-Length:%2047%0a%0a<html>Hacked J</html>

Mas info aqui:
https://github.com/MathiasDeWeerdt/webgoat/issues/42
https://mattisonwright.wordpress.com/2017/04/19/webgoat-http-splitting/

Mas maq Virtuales aqui http://www.computersecuritystudent.com/WINDOWS/DVW/WXP_IE6/lesson1/index.html https://drive.google.com/open?id=1BMonDTESIB9MMAeDKmtoNEAMq9hjOns7