Лаборатории для практики хакинга.

[JOUR]

В данной статье, я расскажу про виртуальные лаборатории, которые вы сами можете настроить. Но не рекомендую. Существуют лаборатории виртуальные и обычные. Виртуальные лаборатории предназначены для VirtualBox. Вы скачиваете лабораторию, устанавливаете на вирт.машину и практикуетесь. В обычных лабораториях, вы просто заходите на сайт, где находится лаборатория и практикуетесь.
Категория: CTF — (capture the flag — захват флага), это сайты с различными заданиями, флагом в которых является файл, текст, символ либо ссылка который нужно найти в ходе решения задачи.
Сейчас, я покажу только 4 вирт.машин. Все образы основаны на Ubuntu Linux.

1. Metasplotable 2 - виртуальная машина, специально спроектированна на максимальную уязвимость для тренировки, тестов эксплойтов и обучения новичков. В отличие от других уязвимых виртуальных машин, Metasploitable фокусируется на уязвимостях в операционной системе Linux и сетевых сервисах, а не на отдельных приложениях. Данная ОС является консольной, логин и пароль для входа msfadmin. Затем в терминале нужно вписать ifconfig и по показанному IP перейти в браузере. Перед вами будут такие уязвимые приложения как DVWA и Mutillidae, также вход в PHPMyAdmin. Скачать: https://sourceforge.net/projects/metasploitable/files/Metasploitable2/

1. Bee-Box. bWAPP — это бесплатное, с открытым исходным кодом, намеренно небезопасное веб-приложение. Оно помогает энтузиастам по безопасности, разработчикам и студентам обнаруживать и предотвращать веб-уязвимости. bWAPP подготавливает для проведения успешных тестов на проникновение и участия в проектах этичного хакинга. Логин bee и пароль bug. Скачать: https://sourceforge.net/projects/bwapp/files/bee-box/

1. Basic Pentesting 1 — Ваша цель состоит в том, чтобы удаленно атаковать VM и получить привилегии суперпользователя. После того, как вы закончите, попытайтесь найти другие векторы. Скачать: https://www.vulnhub.com/entry/basic-pentesting-1,216/

4. Web Security Dojo — это проект с открытым исходным кодом, цель которого быть — обучающей средой, которую можно использовать как платформу для тестирования на проникновение, поскольку в неё уже включены уязвимые службы и приложения. Логин и пароль dojo. Скачать: https://sourceforge.net/projects/websecuritydojo/files/

 

[JOUR]

Список сайтов для проверки своих хакерских навыков.

1. HackThis!! — разработан для того, чтобы научить вас взламывать, дампать, дифейсить и защищать свой сайт от хакеров. Он предлагает более 50 уровней сложности в дополнение к живому и активному онлайн-сообществу. Все это в совокупности делает ресурс одним из лучших для практики этичного хакинга и обмена новостями в сфере безопасности. Ссылка: https://www.hackthis.co.uk/

1. CTF365 — Вы устанавливаете и защищаете свои собственные серверы одновременно с атаками на серверы других пользователей. CTF365 подойдёт профессионалам в области безопасности, которые хотят приобрести наступательные навыки, или системным администраторам, заинтересованным в улучшении своих защитных навыков. Ссылка: https://ctf365.com/
2. OverTheWire — подойдёт всем желающим изучить теорию информационной безопасности и применить её на практике независимо от своего опыта. Новичкам следует начать с задач уровня Bandit, поскольку они необходимы для дальнейшего решения других задач. Ссылка: http://overthewire.org/wargames/
3. Google Gruyere - Этот сайт полон дыр и предназначен для тех, кто только начинает изучать безопасность приложений. Ссылка: https://google-gruyere.appspot.com/
4. PentesterLab — это простой и удобный способ изучения пентестинга. Площадка предоставляет уязвимые системы, которые могут использоваться для тестирования и изучения уязвимостей. Вы на практике можете работать с реальными уязвимостями как онлайн, так и офлайн. Ссылка: https://pentesterlab.com/

1. Root Me — предлагает более 200 задач и более 50 виртуальных сред, позволяющих вам применить на практике свои навыки взлома в различных сценариях. Ссылка: https://www.root-me.org/?lang=ru
2. Game of Hacks — набор фрагментов кода в виде викторины с несколькими вариантами выбора, а вы должны определить правильную уязвимость в коде. Подходит для новичков. Ссылка: http://www.gameofhacks.com/
3. Enigma Group —содержит более 300 задач с акцентом на топ-10 эксплойтов OWASP. Сайт имеет почти 48000 активных участников и проводит еженедельные CTF-соревнования, а также еженедельные и ежемесячные конкурсы. Ссылка: https://www.enigmagroup.org/
4. Try2Hack — один из старейших сайтов по улучшению навыков хакинга. Он предлагает несколько задач, чтобы развлечься. Задачи разнообразны и по мере продвижения становятся всё сложнее. Ссылка: http://www.try2hack.nl/
5. pwn0 — это VPN, в которой происходит почти всё, что угодно. Сражайтесь против ботов или пользователей и набирайте очки, получая контроль над другими системами. Ссылка: https://pwn0.com/

1. W3Challs — это обучающая платформа с множеством задач в различных категориях, включая хакинг, варгеймы, форензику, криптографию, стеганографию и программирование. Цель платформы — предоставить реалистичные задачи. В зависимости от сложности решённой задачи вы получаете баллы. Также есть форум, на котором можно обсуждать и решать задачи с другими участниками. Ссылка: https://w3challs.com/
2. REVERSING.KR — на этом сайте можно найти 26 задач для проверки ваших навыков взлома и реверс-инжиниринга. Сайт не обновлялся с конца 2012 года, но имеющиеся задачи по-прежнему являются ценными учебными ресурсами. Ссылка: http://reversing.kr/index.php
3. Hackxor — эта игра создана для практики взлома веб-приложений. Она предлагает несколько уровней в качестве онлайн-версии и более продвинутые уровни в качестве загружаемой полной версии. Игроки даже могут играть в сценарий Black hat hacker (задача заключается в том, чтобы выследить другого хакера любыми возможными способами). Ссылка: https://hackxor.net/
4. Pentestit — предлагает всем желающим проверить навыки в области ИБ и взломать тестовые серверы компании Global Data Security. Новая лаборатория содержит распространенные уязвимости и ошибки конфигурации. Участие бесплатно. Ссылка: https://lab.pentestit.ru