Pentest [RACCOLTA] Piattaforme di training, online & self-hosted

HellIn

Utente Silver
2 Maggio 2018
149
2
170
93
Ultima modifica:
Sperando di fare cosa gradita, pensavo di raccogliere qui qualche piattaforma per fare un po' di palestra sull'argomento. Cercherò il più possibile di evitare ciò che è stato già detto e ridetto, sarà comunque inevitabile citare cose che già conoscete; specificherò anche cosa è free, cosa non lo è, cosa è online e cosa è self-hosted.

Faccio una premessa: la qualità delle VM o delle piattaforme in questione dipende interamente da chi ha progettato la VM o la piattaforma. Per me una CTF che ti chiede di trovare un flag facendo un'analisi di un file .wav non ha nessun senso dal punto di vista del pentesting e non mi è mai capitato di trovare nulla di simile da quando lavoro. Può avere un senso in ambito forensics, ma non è questo lo scopo di questa raccolta.

Ovviamente è gradito il contributo di tutti.

  • https://vulnhub.com - free, self-hosted - raccolta di VM vulnerabili e scaricabili.
  • https://hackthebox.eu - free/premium, online (possibilità di sottoscrizione ai server VIP, che da accesso a macchine ritirate, numero di reset illimitati e server meno frequentati) - piattaforma online con VM singole a cui si accede tramite VPN. La piattaforme offre inoltre delle vere e proprie infrastrutture virtuali, a cui si accede però soltanto pagando uno sproposito (da non confondere con l'accesso ai server VIP, che costa sui 10 euro al mese)
  • https://pentesterlab.com - free/premium, self-hosted/online (possibilità di sottoscrizione PRO, che da accesso ad altre VM) - piattaforma con VM vulnerabili, offre la possibilità di scaricare le VM o accedere direttamente alle macchine online in questione.
  • https://practicalpentestlabs.com - free/premium, online (possibilità di sottoscrizione PREMIUM, che da accesso a corsi e a lab non accessibili con la sottoscrizione FREE) - piattaforma online, con VM singole a cui si accede tramite VPN.
  • https://pentest.training - free, online - piattaforma che offre una vera e propria infrastruttura vulnerabile, accessibile tramite VPN.
  • https://www.pentestpractice.com - premium, online - raccolta di VM vulnerabili online, forse l'unica di quelle a pagamento che offre l'on-demandm in perfetto stile cloud.
  • https://www.virtualhackinglabs.com - premium, online - ad essere onesto conosco pochissimo di questa piattaforma, so solo che è a pagamento. Non ho idea di come sia strutturata.
  • https://ctf365.com - free/premium, online - piattaforma che permette l'accesso ad una vera e propria infrastruttura, dando inoltre la possibilità di creare ed unirsi a dei veri e propri gruppi e dando quindi la possibilità di sperimentare il blue/red team.
  • https://hack.me - free, online - piattaforma realizzata dal team della eLearnSecurity che permette a tutti di creare e condividere delle "challenge".
  • https://lab.pentestit.ru - free, online - piattaforma che offre una vera e propria infrastruttura vulnerabile, accessibile tramite VPN.
  • https://github.com/RhinoSecurityLabs/cloudgoat - free/premium, online - cominciano le chicche :D template per fare il deploy di un'infrastruttura vulnerabile su AWS. Ovviamente, pur essendo un progetto free postato su GitHub, vanno tenuti in considerazione i costi delle risorse create dallo stack su AWS.
  • http://flaws.cloud - free, online - altra piattaforma per il training di pentesting su un'infrastruttura AWS già esistente.
  • https://github.com/eystsen/pentestlab - free, self-hosted - progettino interessante con un Dockerfile che permette di tirare su i framework più noti (bWapp, WebGoat, DVWA e via dicendo),
  • https://github.com/cliffe/SecGen - free, self-hosted - altra chicca. Progetto molto bello che utilizza Vagrant per generare in maniera randomica (o a seconda di scenari impostati dall'utente) delle VM vulnerabili.