Como aprender e praticar hacking

Introdução

Esse post é muito importante para quem está começando ou se aprofundando na área de Ethical Hacking.
Vou mostrar os principais serviços que você pode utilizar para praticar e aprender essa maralilhosa arte!
Vamos falar do dois maiores HackTheBox e TryHackMe, assim como alguns outros métodos para desenvolver as suas habilidades

CTF

Antes de entrarmos em detalhes para um cada um dos recursos eu preciso explicar o que é um CTF(Capture the Flag)
Esse método de Hacking é um dos mais famosos, diversas plataformas, competições e eventos são baseados totalmente nesse modelo.
Mas o que é o CTF?
Um capture the flag consiste em um ou mais arquivos chamados de Flag e o objetivo é encontrar todos.
Então você é apresentado com uma vítima (Lembrando que pode até mesmo envolver mais de um sistema ou serviço) e normalmente conectado em um VPN você consegue acessar todo o Network nescessário para começar o seu ataque.
Depois disso vamos a metodologia, descobrir portas, versão dos sistemas, serviços entre outros até encontrarmos uma forma de ler arquivos dentro do sistema ou um completo controle.
Tudo para lermos essas flag, que normalmente são arquivos de texto com caracteres alfa numericos apenas para compravar que você de fato estava dentro do sistema.
O Método CTF é muito utilizado apesar de não ser o unico.
Agora vamos conversar sobre os melhores locais para praticar

HackTheBox


Vou começar com o meu preferido, o HackTheBox. Esse serviço é muito legal, e sempre desafia as suas habilidades com máquinas que vão de fácil até Insano! E você pode ter certeza que as dificulades maiores vão tirar noites de sono até que você consiga resolver.
As máquinas que podemos atacar são muito bem construidas e extremamente divertidas de resolver.
O Hackthebox era um modelo apenas de CTF até um tempo atrás, inclusive para criar a sua conta no serviço você precisava hackear ele!
Mas agora ele engloba muito mais, aulas, tutoriais, outros métodos de praticar como
ProLabs – Laboratórios Completos com Diversas máquinas e sistemas
EndGames – Um conjunto de máquinas
Fortresses – Laboratórios voltados para o meio empresárial
BattleGrounds – Esse é um método de treino muito legal, ele consiste em dois times, ou apenas individuos que precisam tomar o controle e defender o sistema ao mesmo tempo. Você não só hackeia uma maquina mas precisa impedir todos os outros participantes de tomarem ela de você. Uma ótima brincadeira para treinar o Blue e Red Team que está dentro de você
Eles possuem o Academy que tem cursos muito bons(Tudo em inglês) para diversos assuntos.


O HackTheBox possui uma parte grátis, onde as máquinas “Ativas” são gratuitas para qualquer usuário

Entretanto eu aconselho MUITO a versão VIP, onde você tem acesso a todas as máquinas ativas ou não.
O Academy tem preços diferentes para um dos seus módulos, assim como os outros laboratórios.

Esse é de longe o serviço que eu mais utilizo e mais gosto de participar, a comunidade é muito divertida e tudo funciona perfeitamente.

Link

https://hackthebox.com

TryHackMe

Esse é outro serviço muito bom, o TryHackMe tem um modelo muito parecido com o HackTheBox em grande parte dos seus serviços.

Novamente nós possuimos diversas máquinas para solucionar. Outro tipo de competição parecido com o BattleGrounds que chama King Of The Hill.
O grande diferencial do TryHackMe são os Paths, que ensinam desde a introdução total ao assunto até a parte mais avançada.
Na minha opnião o TryHackMe é bem melhor para iniciantes porém não muito na parte intermediário para avançada, o Fácil do HacktheBox é médio aqui.

Mas se você está começando agora eu aconselho a trilhar o seu caminho aqui e depois ir para o HackTheBox.

O TryHackMe também é uma assinatura paga com algumas máquinas grátuitas, porém assim como HackTheBox eu aconselho muito a assinatura paga.
Eu já tive alguns problemas com o VPN deles e uma extrema lentidão do sistema, acho importante comentar as coisas boas e ruins também.

Lembrando que todo o conteúdo é em inglês, mas nada que o tradutor não ajude.

Link

https://tryhackme.com/

VulnHub

Agora nos distanciando de plaformas com as maquinas prontas, tem um modelo muito parecido, mas você baixa a máquina no seus sistema e precisa rodar ela você mesmo.

Isso é muito bom para uma visão mais detalhada dos dois lados para o que está acontecendo.
A melhor parte é que é totalmente gratuito, qualquer máquina é liberada para download!

https://www.vulnhub.com/

Outros

Existem outros locais para treinar suas habilidades, os programas de Bug Hunting (Post e Vídeo sobre esse assunto está no forno, então se inscreve no canal e fica de olho nos updates)
PentestLabs

https://pentesterlab.com/
Os laboratórios de PortSwingger

https://portswigger.net/web-security/all-labs
ou laboratórios de certificações como EJPT,OSCP entre outros.

Hoje era isso que eu tinha para falar!
Um grande abraço de urso!