Vulnhub è una raccolta di distribuzioni vulnerabili insieme a procedure dettagliate fornite dalla community.
exploit-exercises.com fornisce una varietà di macchine virtuali, documentazione e sfide che possono essere utilizzate per informazioni su una serie di problemi di sicurezza del computer, come l'escalation dei privilegi, l'analisi delle vulnerabilità, lo sviluppo degli exploit, il debug, il reverse engineering e i problemi generali di sicurezza informatica.
PentesterLab ha esercizi interessanti, alcuni dei quali riguardano lo sviluppo degli exploit.
RebootUser ha un laboratorio che include un Vulnix, una macchina Linux vulnerabile, VulVoIP - Una distribuzione AsteriskNOW relativamente vecchia e con una serie di punti deboli e VulnVPN - una VM che è possibile praticare sfruttando il servizio VPN per accedere ai servizi sever e 'internal'.
BackTrack PenTesting Lab di laboratorio è un test di penetrazione all-in-one ambiente di laboratorio che include tutti gli host, l'infrastruttura di rete, gli strumenti e i target necessari per l'esecuzione dei test di penetrazione. Include: una rete DMZ con due destinazioni host, una rete "interna" con una destinazione host e un firewall preconfigurato.
PwnOS è una VM Debian di un obiettivo su cui è possibile esercitarsi con i test di penetrazione con l'obiettivo di ottenendo root.
Holynix è un'immagine VMware Linux creata appositamente per avere falle di sicurezza per gli scopi di test di penetrazione.
Kioptrix VM è mirato al principiante.
Scene One è uno scenario di pentesting liveCD fatto per un po 'di divertimento e apprendimento.
Sauron è un Linux sistema con una serie di servizi Web vulnerabili.
La
LAMPSecurity formazione è progettata per essere una serie di immagini di macchine virtuali vulnerabili con documentazione complementare progettato per insegnare la sicurezza di Linux, Apache, PHP e MySQL.
OSCP , OSCE , SANS 660 e HackinkDOJO sono alcuni dei corsi a pagamento che hanno buoni laboratori pratici.
I siti web di hackeraggio di sfide possono anche offrire sfide sempre più difficili, divertenti e coinvolgenti. WeChall è un sito Web che aggrega i punteggi su altri siti Web di sfida e ha una categoria per siti Web con exploit .
Gli eventi
CTF (Capture The Flag) presentano problemi in cui è necessario sfruttare il software locale o remoto. La maggior parte degli eventi dal vivo sono disponibili su CTFTime , ma ci sono repository di eventi passati e alcuni CTF sono ancora disponibili dopo l'evento dal vivo.
Tuttavia, per lo sviluppo degli exploit, suggerisco di installare applicazioni vulnerabili sul tuo computer dove potresti facilmente eseguire analisi. L'applicazione non deve necessariamente essere un server o essere eseguita su un altro computer. Vai a exploit-db e trova vecchi exploit lì, quindi cerca per quella versione del software vulnerabile e inizia a lavorarci su. Se hai bisogno di suggerimenti, l'exploit reale può indirizzarti nella giusta direzione.