Когда я впервые решил заняться пентестом, первое, что увидел в русскоязычном интернете - списки платных курсов за 100–150 тысяч рублей. Skillfactory, Нетология, Skillbox - все обещали сделать из меня «белого хакера» за 12 месяцев. Я не пошёл ни на один из них. Вместо этого полтора года провёл на бесплатных платформах - TryHackMe, HackTheBox, PortSwigger - и в итоге получил первый коммерческий заказ на пентест веб-приложения. Не потратив на обучение ни рубля.
Сейчас менторю начинающих, и главный вопрос у всех одинаковый: «С чего начать и можно ли научиться бесплатно?» Короткий ответ - да. Длинный - ниже. Разберу каждую платформу по личному опыту первых 10 часов работы, покажу конкретный маршрут обучения и объясню, где бесплатная версия реально упирается в потолок.
Как научиться пентесту с нуля: выбор стратегии
Прежде чем сравнивать платформы, определитесь с целью. Я задаю своим ученикам один вопрос: «Тебе нужен OSCP или ты хочешь просто разобраться в основах?» Ответ определяет маршрут.Вариант А - разобраться и попробовать. Понять, нравится ли вам пентест, набрать базу за 2–3 месяца. Хватит TryHackMe бесплатно и PortSwigger Web Security Academy.
Вариант Б - карьера, путь к сертификации. OSCP, eCPPT или отечественные сертификации. Тут нужна комбинация: TryHackMe для фундамента, HackTheBox для практики на реальных сценариях, CTF для прокачки скорости мышления.
Обе стратегии начинаются бесплатно. Разница - в том, когда вы упрётесь в потолок free-тира и решите вложиться.
TryHackMe бесплатно: идеальный старт для новичка
TryHackMe - платформа, с которой я рекомендую начинать всем без исключения. THM даёт guided labs прямо в браузере: от основ Linux и сетей до веб-хакинга и пентеста. Открыл вкладку - работаешь.Что доступно без подписки
Бесплатный тир включает доступ к значительной части комнат (rooms) и нескольким полноценным learning paths - от beginner до intermediate:- Pre Security Path - основы сетей, веб-технологий, Linux и Windows. Не знаете, чем GET отличается от POST? Сюда. Я прошёл этот путь за ~15 часов.
- Introduction to Cyber Security - обзор профессий в ИБ: от SOC-аналитика до пентестера. Полезно, чтобы понять, куда вообще двигаться.
- Отдельные бесплатные комнаты по Nmap, Burp Suite, OWASP Top 10, базовому Linux.
Где free-тир упирается в потолок
После Pre Security и Introduction to Cyber Security начинаются проблемы. Пути Jr Penetration Tester и Complete Beginner требуют подписки (~$14/мес или ~$10.5/мес при годовой оплате). Без подписки доступны только отдельные комнаты, но не структурированные learning paths целиком. AttackBox на бесплатном аккаунте - 1 час в день.Мой совет: пройдите всё бесплатное за 2–3 недели. Чувствуете, что затягивает - берите подписку на один месяц и проходите Jr Penetration Tester. Лучшая инвестиция $14 в вашей жизни.
Что вы реально выучите (привязка к MITRE ATT&CK)
Бесплатные комнаты THM покрывают фундаментальные техники, которые напрямую маппятся на MITRE ATT&CK:| Комната THM | Техника ATT&CK | Тактика |
|---|---|---|
| Nmap | Network Service Discovery (T1046) | Discovery |
| Hydra | Brute Force (T1110) | Credential Access |
| OWASP Top 10 | Exploit Public-Facing Application (T1190) | Initial Access |
| Linux PrivEsc | Exploitation for Privilege Escalation (T1068) | Privilege Escalation |
| Intro to Shells | Command and Scripting Interpreter (T1059) | Execution |
Это не академическое упражнение. Когда вы в комнате THM запускаете
nmap -sV -sC <target>, вы выполняете ту же разведку, которую пентестер делает на первом этапе коммерческого проекта. Те же флаги, тот же вывод, те же решения - что сканировать дальше.HackTheBox для начинающих: когда переходить с TryHackMe
HackTheBox - следующий уровень после TryHackMe. Если THM ведёт за руку с пошаговыми подсказками, то HTB ставит перед вами машину и говорит: «Ломай». Основное различие - в подходе: THM делает акцент на guided learning, HTB - на challenge-based сценариях, где подсказок нет и не будет.Бесплатный тир HackTheBox
На бесплатном аккаунте доступны:- Retired machines с официальными walkthroughs. Машины, которые вышли из ротации. Можно решать, сверяясь с решением. Их десятки - хватит на месяцы.
- Starting Point - вводные машины с пошаговыми инструкциями, по сути аналог THM-комнат. Бесплатно.
- HTB Academy - образовательная платформа с модулями. Часть бесплатна, за остальные нужны «кубики» (внутренняя валюта).
Мой опыт первых 10 часов на HTB
Когда я пришёл на HTB после TryHackMe, первая машина уровня Easy заняла 6 часов. На THM аналогичная задача решалась за час с подсказками. Это нормально - и это именно то, что нужно. Самостоятельный поиск решения тренирует пентестерское мышление сильнее любого guided tutorial. Иногда сидишь час, тупишь в выводnmap, потом замечаешь нестандартный порт - и всё щёлкает.Начинайте со Starting Point, затем переходите на retired machines уровня Easy. IppSec выкладывает разборы retired-машин на YouTube; сначала попробуйте сами, затем посмотрите видео, чтобы увидеть другие решения. Я вот так узнал про
chisel для туннелирования - в жизни бы сам не додумался.Требования к окружению для работы с HTB
- ОС: Kali Linux (VM или bare metal) либо Parrot OS. Windows с WSL2 работает, но неудобно - постоянно спотыкаешься о сетевые настройки.
- Сеть: HTB требует VPN через OpenVPN. Скачиваете
.ovpnиз личного кабинета, подключаетесь:sudo openvpn lab.ovpn. - RAM: минимум 4 ГБ для VM с Kali, рекомендую 8 ГБ.
- Инструменты: Nmap, Gobuster/Feroxbuster, Burp Suite Community, Netcat - всё предустановлено в Kali.
PentesterLab: обучение веб-пентесту через уязвимости
PentesterLab специализируется на веб-безопасности. Бесплатный тир включает серию упражнений по классическим веб-уязвимостям: SQL Injection, XSS, CSRF, path traversal. Каждое упражнение - уязвимое веб-приложение, которое нужно проэксплуатировать, плюс краткое объяснение теории.Сильная сторона PentesterLab - методичность. Упражнения выстроены от простого к сложному: сначала базовая SQL-инъекция через
' OR 1=1 --, затем blind SQLi, затем time-based. Это прямая отработка OWASP A03:2021 - Injection. По описанию OWASP: «приложение уязвимо к инъекции, когда пользовательские данные не валидируются, не фильтруются и не санитизируются».Ограничение бесплатного тира: доступна лишь часть упражнений. Полный доступ - $35/мес или $199/год. Для целенаправленной подготовки к веб-пентесту или BSCP (Burp Suite Certified Practitioner) - стоит своих денег.
PortSwigger Web Security Academy: бесплатная альтернатива PentesterLab
А вот это русскоязычные обзоры почти всегда упускают - PortSwigger Web Security Academy. Полностью бесплатная платформа от создателей Burp Suite с интерактивными лабораториями по веб-уязвимостям. Один из лучших образовательных ресурсов по веб-хакингу - и ни копейки за вход.Почему она лучше большинства платных курсов по веб-безопасности:
- Все лаборатории, все материалы - без ограничений и без подписки.
- Покрывает современные уязвимости: Server-Side Template Injection, HTTP Request Smuggling, WebSocket attacks. Темы, которых нет в большинстве русскоязычных курсов.
- Практика в браузере. Каждая тема - несколько лабораторий уровней Apprentice, Practitioner, Expert.
- Интеграция с Burp Suite Community Edition - вы учитесь работать с основным инструментом веб-пентестера прямо в процессе решения.
Отечественные платформы кибербезопасность: обучение на русском языке
Codeby: бесплатный курс по пентесту
Codeby предлагает бесплатный вводный курс из 24 видеоуроков: сканирование сети, фаззинг, инструменты и тактики пентеста. Для тех, кому критичен русский язык, это один из лучших стартовых ресурсов. Курс даёт представление о полном цикле тестирования на проникновение - от разведки до написания отчёта.После вводного курса можно углубиться - в Codeby есть расширенные программы с практическими лабораториями, менторством и подготовкой к реальным проектам. Логичный следующий шаг, когда бесплатные международные платформы пройдены и нужна структурированная подготовка под отечественный рынок.
Stepik: теория без практики
На Stepik есть несколько бесплатных курсов по ИБ: «Профессия - Белый Хакер», «Базовый курс по CTF», «Основы информационной безопасности» - всего более 10 бесплатных курсов. Честная оценка: теоретическая база неплохая, но практических лабораторий нет. Stepik полезен как дополнение к THM/HTB, но не как замена. Читать про SQL-инъекции и руками ломать - две разные вселенные.VulnHub: автономные лаборатории
VulnHub - скачиваемые VM-образы уязвимых машин. Работает полностью офлайн: скачиваете OVA-файл, импортируете в VirtualBox, ломаете. Отличный вариант, если у вас нестабильный интернет или хотите тренироваться в изолированной среде. Лично мне VulnHub пригодился в поезде Москва–Казань - 12 часов без нормального интернета, зато две машины решил.CTF платформы для обучения: соревновательный пентест
CTF (Capture The Flag) - соревнования по кибербезопасности, где нужно решать задачи и находить «флаги». Для обучения пентесту полезны форматы Attack/Defence и Jeopardy.PicoCTF - лучшая площадка для первых CTF. Задачи начинаются с абсолютного нуля: что такое строки в hex, как декодировать base64, простейший реверс-инжиниринг. Я участвовал в PicoCTF в самом начале пути, и именно там понял, что мне нравится ломать вещи. Ощущение, когда после часа мучений флаг наконец принимается - ни с чем не сравнить.
RuCTF / RuCTFE - отечественные CTF-соревнования. Уровень выше PicoCTF, формат Attack/Defence. Участие бесплатное, но требует команды.
Важное отличие CTF от реального пентеста: в CTF задачи искусственные и всегда имеют решение. В реальном пентесте можно потратить 8 часов на вектор, который окажется тупиковым. CTF тренирует скорость и широту мышления, но не заменяет практику на реалистичных сценариях - для этого HTB и лаборатории Codeby.
Пошаговый маршрут: бесплатное обучение пентесту за 6 месяцев
Требования к окружению
- ОС: любая (первый месяц работаете в браузере через AttackBox). Со второго - Kali Linux в VirtualBox.
- Железо: ноутбук/ПК с 8 ГБ RAM, 50 ГБ свободного места.
- Сеть: стабильный интернет для VPN-подключения к HTB.
- Софт: VirtualBox (бесплатный), OpenVPN, Burp Suite Community Edition (бесплатный).
Месяц 1–2: фундамент на TryHackMe
Проходите Pre Security Path целиком. Затем - все доступные бесплатные комнаты по Nmap, Linux Fundamentals, Web Fundamentals. Параллельно смотрите The Cyber Mentor на YouTube - его курс Practical Ethical Hacking один из лучших для старта.На этом этапе вы освоите базовую разведку:
nmap -sV -sC -oN scan.txt <target> станет рутинной командой. Это прямая реализация техники Vulnerability Scanning (T1595.002, Reconnaissance) из MITRE ATT&CK.Месяц 3–4: веб-безопасность и PortSwigger
Переключайтесь на PortSwigger Web Security Academy. Проходите все лаборатории уровня Apprentice: SQL Injection, Cross-Site Scripting (XSS), CSRF, Access Control. Параллельно учитесь работать с Burp Suite Community - перехватывайте запросы, модифицируйте параметры, копайтесь в Repeater и Intruder.Типовая задача: лаборатория по SQL Injection. Перехватываете GET-запрос в Burp Suite, находите параметр, подставляете тестовую нагрузку - и наблюдаете, как приложение отдаёт данные из БД. Практическая отработка OWASP A03:2021 - Injection. Когда впервые видишь, как
' UNION SELECT username, password FROM users-- возвращает таблицу с хешами - это запоминается надолго.Месяц 5–6: HackTheBox и самостоятельная практика
Регистрируйтесь на HackTheBox, проходите Starting Point, затем беритесь за retired Easy-машины. Типовой workflow:
Bash:
# Разведка - Network Service Discovery (T1046)
nmap -sV -sC -p- -oA htb_machine 10.10.10.x
# Перебор директорий веб-сервера
gobuster dir -u http://10.10.10.x -w /usr/share/wordlists/dirb/common.txt
# После получения шелла - поиск privesc-векторов
find / -perm -4000 -type f 2>/dev/nullfind имеет SUID-бит, через него можно получить root-шелл. На одной из retired-машин я именно так и зашёл - find с SUID, два параметра, и ты root.Параллельно участвуйте в PicoCTF или аналогичных CTF для расширения кругозора.
Сравнение платформ: что выбрать для старта
| Критерий | TryHackMe | HackTheBox | PortSwigger | PentesterLab | Codeby |
|---|---|---|---|---|---|
| Бесплатный контент | Частично | Частично | Полностью | Частично | Вводный курс |
| Язык | EN | EN | EN | EN | RU |
| Формат | Guided labs | Challenge-based | Guided labs | Exercises | Видеоуроки |
| Нужен VPN | Нет (AttackBox) | Да | Нет | Нет | Нет |
| Лучше всего для | Абсолютных новичков | Intermediate+ | Веб-безопасность | Веб-безопасность | Старт на русском |
| Подписка | ~$14/мес | ~$14/мес | Бесплатно | $35/мес | Есть платные курсы |
Мой рекомендованный стек для бесплатного обучения: TryHackMe (месяцы 1–2) → PortSwigger (месяцы 3–4) → HackTheBox retired machines (месяцы 5–6). Нужен русский язык на старте - начните с бесплатного курса Codeby, затем переходите на THM.
Обучение этичному хакингу бесплатно: ресурсы за пределами платформ
Платформы - только часть обучения. Вот что ещё доступно бесплатно и реально полезно:YouTube-каналы. The Cyber Mentor (практический курс по этичному хакингу), IppSec (разборы HTB-машин), John Hammond (CTF writeups и разборы). Все три - проверенные образовательные ресурсы, рекомендуемые в сообществе.
OWASP. Весь проект OWASP Top 10 доступен бесплатно на owasp.org. OWASP Juice Shop - намеренно уязвимое веб-приложение для практики. Разворачивается через Docker за минуту, ломается часами.
GTFOBins и LOLBAS. Справочники по злоупотреблению легитимными бинарниками: GTFOBins для Linux, LOLBAS для Windows. Незаменимы при решении задач на повышение привилегий - как на HTB, так и в реальных проектах.
Разбор реальных утечек как учебный материал. Понять, к чему приводят уязвимости, помогают конкретные инциденты. Утечка Badoo в 2013 году затронула более 112 миллионов аккаунтов - email-адреса, пароли, даты рождения. Утечка российского онлайн-кинотеатра START в 2022 году - 7,4 миллиона записей с email, геолокацией и паролями. Пока есть такие инциденты - профессия пентестера остаётся востребованной.
Ограничения бесплатного обучения: когда пора платить
Бесплатные ресурсы закроют 70–80% базовых навыков. Вот что они не дадут:
Реалистичные корпоративные сети. HTB Pro Labs (Dante, Offshore, RastaLabs) моделируют сети из 10–20 машин с Active Directory, trust relationships, сегментацией. Ничего подобного на free нет. А именно AD-атаки - это то, что чаще всего встречается на внутренних пентестах.
Структурированное менторство. Самостоятельное обучение работает, но медленно. Ментор экономит месяцы, указывая на слепые зоны. Это одно из преимуществ структурированных программ, вроде курсов Codeby - обратная связь от практикующих специалистов ускоряет рост.
Подготовка к OSCP. Бесплатных ресурсов достаточно для понимания основ, но целенаправленная подготовка к OSCP требует лабораторий OffSec (PWK - $1749/~175 000 ₽ на момент написания) или HTB Pro Labs ($49/мес). Впрочем, retired HTB-машины и PortSwigger labs бесплатно - это уже 60% подготовки. Оставшиеся 40% - AD, pivoting и выносливость на 24-часовом экзамене.
Правовая рамка для РФ. Отечественные курсы (Codeby, CyberED) дают понимание российского законодательства - ФЗ-152, требования ФСТЭК - что критично для легальной работы пентестером в России. Бесплатные международные платформы этого не покрывают вообще.
Вопрос к читателям
Для тех, кто уже работает с HackTheBox: retired-машины уровня Easy на free-тире дают хорошую базу, но выбор конкретных машин определяет прогресс. Какие 3–5 retired-машин HTB вы бы включили в обязательную программу для новичка, готовящегося к первому коммерческому пентесту? Было бы интересно увидеть список с названиями и обоснованием - какую технику (privesc через SUID, SQLi на веб-порте, AD-атаку) каждая тренирует. Поделитесь своим «стартовым набором» в комментариях.
Последнее редактирование модератором:
