Vulnhub ist eine Sammlung anfälliger Distributionen zusammen mit von der Community beigesteuerten exemplarischen Vorgehensweisen.
exploit-übungen.com bietet eine Vielzahl von virtuellen Maschinen, Dokumentationen und Herausforderungen, die verwendet werden können, um mehr über eine Vielzahl von Computersicherheitsproblemen zu erfahren, z. B. Rechteausweitung, Schwachstellenanalyse, Exploit-Entwicklung, Debugging, Reverse Engineering und allgemeine Cybersicherheitsprobleme
PentesterLab hat interessante Übungen, einige davon handeln von der Entwicklung von Exploits.
Benutzer neu starten hat ein Labor, das Vulnix – eine verwundbare Linux-Maschine, VulVoIP – eine relativ alte AsteriskNOW-Distribution und eine Reihe von Schwachstellen und VulnVPN – eine VM enthält, mit der Sie üben können, den VPN-Dienst auszunutzen, um Zugriff auf den Server und „interne“ Dienste.
BackTrack PenTesting Edition-Lab ist eine All-in-one-Laborumgebung für Penetrationstests, die alle Hosts, Netzwerkinfrastruktur, Tools und Ziele enthält, die für die Durchführung von Penetrationstests erforderlich sind. Es umfasst:ein DMZ-Netzwerk mit zwei Host-Zielen, ein „internes“ Netzwerk mit einem Host-Ziel und eine vorkonfigurierte Firewall.
PwnOS ist eine Debian-VM eines Ziels, auf der Sie Penetrationstests mit dem Ziel üben können, root zu werden.
Holynix ist ein Linux-VMware-Image, das absichtlich so erstellt wurde, dass es Sicherheitslücken für Penetrationstests aufweist.
Kioptrix-VM richtet sich an Anfänger.
Szene Eins ist eine Pentesting-Szenario-Live-CD, die für ein bisschen Spaß und Lernen gemacht wurde.
Sauron ist ein Linux-System mit einer Reihe anfälliger Webdienste.
LAMPSicherheit Das Training besteht aus einer Reihe anfälliger VM-Images zusammen mit ergänzender Dokumentation, die entwickelt wurde, um die Sicherheit von Linux, Apache, PHP und MySQL zu lehren.
OSCP, OSCE, SANS 660 und HackinkDOJO sind einige der kostenpflichtigen Kurse mit guten praktischen Übungen.
Hacking Challenge-Websites kann auch Herausforderungen bieten, die an Schwierigkeit, Spaß und Sucht zunehmen. WeChall ist eine Website, die Ergebnisse auf anderen Challenge-Websites sammelt und eine Kategorie für Websites mit Exploits hat.
CTF (Capture The Flag)-Events haben Herausforderungen, bei denen Sie lokale oder entfernte Software ausnutzen müssen. Die meisten Live-Events sind auf CTFTime verfügbar, aber es gibt Repositories vergangener Events und einige CTFs sind auch nach dem Live-Event noch verfügbar.
Aber für die Exploit-Entwicklung schlage ich vor, anfällige Anwendungen auf Ihrem eigenen Computer zu installieren, wo Sie leicht Analysen durchführen können. Die Anwendung muss nicht unbedingt ein Server sein oder auf einem anderen Computer ausgeführt werden. Gehen Sie zu Exploit-DB und finden Sie dort alte Exploits, suchen Sie dann nach dieser Version der anfälligen Software und beginnen Sie, daran zu arbeiten. Wenn Sie Hinweise benötigen, kann der tatsächliche Exploit Sie in die richtige Richtung weisen.
Wenn Sie daran interessiert sind, Web-Apps zu hacken, sehen Sie sich die OWASP Hackademic Challenges an. Das klingt etwas nebensächlich für Ihr Interesse, aber ich dachte, ich erwähne es nur für den Fall.
Sie können sich Metasploitable 1 &2 von Rapid7 ansehen!