Три дня. Ровно столько я просидел над машиной «Lame» на HackTheBox, не понимая, почему эксплойт не срабатывает. Проблема была не в машине - я понятия не имел, что такое privilege escalation, и пытался перепрыгнуть через фундамент. Если бы кто-то тогда объяснил разницу между платформами, я бы сэкономил два месяца мотивации и не бросил бы всё на полпути.
Русскоязычный интернет забит статьями формата «10 платформ для хакинга» - голые списки ссылок без единого практического критерия. Англоязычные источники глубже, но сравнивают только HackTheBox и TryHackMe, игнорируя PentesterLab и VulnHub - а те закрывают принципиально другие задачи. Эта статья - результат личного опыта на всех четырёх платформах и менторства двух десятков джунов, каждый из которых начинал с «а где мне практиковаться?».
Почему списки «лучших платформ для хакинга» вам не помогут
Проблема универсальных рейтингов - они сравнивают то что нельзя сравнивать. TryHackMe и HackTheBox - не два конкурента, а два звена одной цепи. PentesterLab решает третью задачу. VulnHub - четвёртую. Выбирать между ними - как спрашивать «что лучше: учебник или экзамен?». Ответ зависит от того, где вы сейчас.Каждая платформа для пентеста закрывает конкретный этап обучения и конкретный набор навыков. Задача - не выбрать одну, а понять последовательность. Ниже - разбор, который даст эту последовательность.
Четыре платформы для практики пентеста: детальный разбор
TryHackMe - где учиться пентесту с нуля
TryHackMe построена по принципу «сначала объясняем, потом просим сделать». Каждая «комната» (room) - текстовая теория, затем задания с полями для ввода ответов. Не знаете, что такоеnmap? Комната «Nmap» объяснит каждый флаг, даст задание на сканирование подготовленной машины и проверит результат.Главное для начинающих - Learning Paths. Выстроенные последовательности комнат под конкретную роль. «Jr Penetration Tester» проведёт от базовых сетевых концепций до веб-уязвимостей и privilege escalation за 60-80 часов практики. Не нужно гадать, что учить дальше - платформа ведёт за руку.
Конкретные комнаты для старта, которые я рекомендую каждому джуну:
- Linux Fundamentals (три части) - если путаете
chmodиchown, начните здесь - What the Shell? - reverse shell и bind shell с нуля, с разбором каждой команды
- Intro to Offensive Security - первое знакомство с пентестом, можно пройти за вечер
- OWASP Top 10 - веб-уязвимости на практике, задания прямо в браузере
А теперь то, о чём в обзорах молчат: после прохождения Learning Path вы знаете инструменты, но не умеете думать как пентестер. THM подсказывает каждый шаг - а на реальном проекте подсказок нет. Именно поэтому THM - начало пути, а не весь путь.
HackTheBox - полигон для тех, кто готов к самостоятельности
Если TryHackMe - автошкола, то HackTheBox - городская дорога без инструктора. Получаете IP-адрес машины. Всё. Никаких инструкций, никаких подсказок в интерфейсе, никакого порядка действий.Именно это и делает HTB незаменимым. Реальный пентест выглядит точно так же: вот скоуп, вот время - действуйте. Машины HTB моделируют настоящие уязвимости - от кривой конфигурации SMB до цепочек эксплуатации Active Directory.
HackTheBox для новичков - ловушка, в которую попадают из-за маркетинга. Я в неё влетел (та самая «Lame»). Даже машины уровня «Easy» предполагают, что вы уже умеете:
- Провести полное сканирование портов через
nmap -sC -sV -p- <IP> - Определить потенциальные точки входа по результатам скана
- Самостоятельно найти эксплойт, адаптировать его и запустить
- Поднять привилегии через
linpeas.shили ручной анализ
- Lame - классическая Linux-машина, эксплуатация уязвимости SMB через Metasploit
- Blue - Windows, эксплуатация MS17-010 (EternalBlue) через уязвимый SMB, техника Exploit Public-Facing Application (T1190, Initial Access)
- Jerry - Tomcat с дефолтными учётками, наглядная демонстрация Brute Force (T1110, Credential Access)
PentesterLab - обзор платформы для веб-безопасности
PentesterLab занимает нишу, которую не покрывает ни TryHackMe, ни HackTheBox - глубокое, методичное изучение веб-уязвимостей с объяснением внутренней механики. Если THM говорит «вот SQL-инъекция, введите' OR 1=1 --», то PentesterLab объясняет, почему именно эта строка ломает запрос, как устроен парсинг на стороне сервера и какие вариации обхода фильтров существуют.Платформа организована в виде «exercises» и «badges» - цепочек упражнений по конкретной уязвимости. Модули по SQLi, XXE, SSTI (Server-Side Template Injection), JWT-атакам, десериализации. Каждый модуль - не абстрактная теория, а уязвимое приложение, которое нужно сломать.
Для кого PentesterLab незаменим:
- Хотите специализироваться на веб-пентесте или bug bounty
- Прошли базовые комнаты THM по вебу и хотите копнуть глубже
- Нужно понять не только «как эксплуатировать», но «почему это работает»
VulnHub - обзор бесплатной лаборатории на своём железе
VulnHub - не платформа в привычном смысле. Это архив образов виртуальных машин (OVA/VMDK), которые скачиваете и запускаете локально в VirtualBox или VMware. Никакого веб-интерфейса, никакого VPN, никакой подписки. Полностью бесплатно.Почему это важно - именно на VulnHub вы впервые настраиваете собственную лабораторию. А это навык, который нужен каждому пентестеру: развернуть тестовую среду, настроить сетевые интерфейсы, изолировать уязвимую машину от основной сети. Для тех кто в танке - это как научиться готовить себе рабочее место, прежде чем браться за работу.
Требования к окружению: ПК с минимум 8 GB RAM (рекомендуется 16 GB), 50+ GB свободного места на диске, VirtualBox или VMware, образ Kali Linux как атакующая машина. Интернет нужен только для скачивания образов - дальше всё работает оффлайн.
Машины VulnHub для начала:
- Kioptrix (серия из 5 машин) - классическая progressive difficulty, от базовой разведки до сложной эскалации привилегий
- Mr-Robot - CTF по мотивам сериала, отличная мотивация для старта
- DC (серия) - 9 машин с постепенным возврастанием сложности
CTF платформы: сравнение по ключевым параметрам
| Параметр | TryHackMe | HackTheBox | PentesterLab | VulnHub |
|---|---|---|---|---|
| Уровень входа | Абсолютный новичок | Средний и выше | Средний (веб) | Средний |
| Формат обучения | Пошаговые комнаты | Самостоятельные машины | Модули по уязвимостям | Локальные VM |
| Работа в браузере | Да (AttackBox) | Частично (Pwnbox) | Да | Нет (локально) |
| Фокус | Широкий спектр ИБ | Пентест, Red Team | Веб-уязвимости | Пентест (Linux/Windows) |
| Сертификации | Нет | CPTS, CBBH и другие | Нет | Нет |
| Стоимость подписки | ~$14/мес | от ~$14/мес (VIP), ~$21/мес (VIP+) + Academy отдельно | ~$30/мес | Бесплатно |
| Русскоязычные материалы | Сообщество, write-up'ы | Сообщество, write-up'ы | Минимально | Write-up'ы |
| Оффлайн-режим | Нет | Нет | Нет | Да |
| Количество контента | 800+ комнат | 500+ машин | 200+ упражнений | 600+ VM |
| Gamification | Да (streak, ranks) | Да (ranks, first blood) | Badges | Нет |
Какие техники MITRE ATT&CK вы отработаете на каждой платформе
Ни один русскоязычный обзор платформ для обучения пентесту не связывает контент площадок с реальными техниками атак. А ведь именно маппинг на MITRE ATT&CK превращает CTF-навык в профессиональную компетенцию. Без этого вы «решаете задачки», а не «умеете пентестить».TryHackMe покрывает начальные тактики: Network Service Discovery (T1046, Discovery) через комнаты по
nmap, Command and Scripting Interpreter (T1059, Execution) в модулях по bash/PowerShell, Brute Force (T1110, Credential Access) в комнатах по Hydra. Подход пошаговый: сначала теория техники, затем её применение.HackTheBox - основной полигон для отработки цепочек: Exploit Public-Facing Application (T1190, Initial Access) на веб-ориентированных машинах, Exploitation for Privilege Escalation (T1068, Privilege Escalation) практически на каждой машине, OS Credential Dumping (T1003, Credential Access) на Windows-машинах с Active Directory. Тут вы сами определяете, какую технику применить и когда. Подсказок нет - как в жизни.
PentesterLab - узкий, но глубокий фокус на Exploit Public-Facing Application (T1190, Initial Access): SQL-инъекции, XXE, SSTI, JWT-манипуляции. Если нужна экспертиза именно в веб-эксплуатации - PentesterLab даёт глубину, которой нет на других площадках.
VulnHub - зависит от конкретной машины, но типичная цепочка: Network Service Discovery (T1046) через
nmap, Exploit Public-Facing Application (T1190) для initial access, Abuse Elevation Control Mechanism (T1548, Privilege Escalation / Defense Evasion) для получения root. Серия Kioptrix системно прорабатывает эту цепочку с нарастающей сложностью.Практика этичного хакинга онлайн: маршрут на 6 месяцев
Конкретный план, который я даю джунам на менторстве. Не требует предварительного опыта в ИБ - только базовое понимание работы компьютера и готовность тратить 8-10 часов в неделю.Месяцы 1-2: TryHackMe (бесплатный контент, затем подписка)
Начните с пути «Pre-Security», затем переходите к «Jr Penetration Tester». Параллельно ведите заметки - Obsidian или CherryTree. Фиксируйте каждую новую команду, каждый инструмент. Я жалею, что не начал вести заметки с первого дня - потом пришлось восстанавливать по памяти. К концу второго месяца вы должны уверенно запускать
nmap, находить директории через gobuster dir -u <URL> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt и понимать, что такое reverse shell.Месяц 3: VulnHub + PentesterLab (бесплатно / $20)
Скачайте Kioptrix Level 1 и попробуйте взломать без write-up'а. Поставьте себе лимит: 4 часа самостоятельной работы, затем - чтение решения. Это нормально. Все так начинают. Параллельно возьмитесь за бесплатные упражнения PentesterLab по SQL-инъекциям - это углубит понимание веб-вектора, который вы уже затрагивали на THM.
Месяцы 4-5: HackTheBox (подписка)
Переходите на HTB. Начните с retired-машин уровня Easy - для них доступны official write-up'ы. Порядок: Lame, Blue, Jerry, Netmon. На каждую машину заводите отчёт: разведка, обнаруженные сервисы, вектор атаки, эксплуатация, пост-эксплуатация. Формирует навык документирования, который потребуется на собеседованиях и в реальной работе.
Bash:
# Базовый workflow на машине HTB
# Шаг 1: Полное сканирование - да, -p- это долго, но пропускать нельзя
nmap -sC -sV -p- -oN full_scan.txt 10.10.10.X
# Шаг 2: Нашли 445-й порт? Прицельный скан на уязвимости
nmap --script vuln -p 445 10.10.10.X
# Шаг 3: Ищем, чем это ломается
msfconsole -q -x "search type:exploit name:smb; exit"Выбирайте направление. Веб-пентест - углубляйтесь в PentesterLab, параллельно решая веб-челленджи на HTB. Инфраструктурный пентест - переходите к Medium-машинам HTB, особенно с Active Directory. Сделайте публичные write-up'ы на 5-10 машин - это ваше портфолио.
Стоимость обучения кибербезопасности: реальный бюджет на 2025
«Где учиться пентесту бесплатно?» - спрашивает каждый второй джун. Короткий ответ: первые 3 месяца можно пройти почти без вложений, но дальше подписка окупается за счёт скорости.Минимальный бюджет (6 месяцев):
- TryHackMe: 2 месяца бесплатно (хватит 500+ бесплатных комнат) + 1 месяц Premium ~ $14
- VulnHub: бесплатно
- PentesterLab: бесплатные упражнения
- HackTheBox: 2 месяца VIP ~ $50
- Итого: ~$64 за полгода
- TryHackMe Premium: 2 месяца ~ $28
- PentesterLab Pro: 2 месяца ~ $60
- HackTheBox VIP+: 3 месяца ~ $63
- Итого: ~$163 за полгода
Лучшая платформа для обучения пентесту - зависит от вашей точки старта
Одной лучшей платформы не существует. Существует правильная последовательность:Не знаете, что такое Linux-терминал - TryHackMe, путь «Pre-Security». Не трогайте HTB, не скачивайте VulnHub. Серьёзно. Я видел, как люди бросают ИБ после двух дней на HTB без подготовки.
Прошли основы, но не решали машины самостоятельно - VulnHub (Kioptrix) + PentesterLab (бесплатные веб-модули). Учитесь думать без подсказок.
Решаете Easy-машины, но застреваете на Medium - HackTheBox как основная площадка + HTB Academy для закрытия пробелов в теории. Тут же начинайте думать о сертификации CPTS.
Хотите специализироваться в веб-безопасности или bug bounty - PentesterLab Pro + PortSwigger Web Security Academy (бесплатная) как дополнение. HTB - только для веб-машин.
Готовите лабораторию для команды или обучения - VulnHub + собственные Docker-контейнеры. Бесплатно, полностью оффлайн, полный контроль над средой.
CTF для начинающих - TryHackMe, без вариантов. CTF для роста - HackTheBox. CTF для глубины - PentesterLab. CTF для независимости - VulnHub. Четыре платформы - четыре этапа одного пути.
Вопрос к читателям
На HackTheBox машины уровня Easy вроде Lame решаются через один эксплойт вmsfconsole, но на Medium стандартный подход ломается - нужна ручная эксплуатация или кастомные скрипты. Какой набор nmap-скриптов вы запускаете на этапе разведки Medium-машин HTB: стандартный nmap -sC -sV, расширенный --script vuln,safe или собственный набор через --script? Покажите вашу конкретную строку запуска и объясните, почему этот набор лучше дефолтного для машин среднего уровня.
Последнее редактирование модератором:
