Vulnhub es una colección de distribuciones vulnerables junto con recorridos que la comunidad ha contribuido.
exploit-exercises.com ofrece una variedad de máquinas virtuales, documentación y desafíos que pueden usarse para aprender sobre una variedad de problemas de seguridad informática, como la escalada de privilegios, el análisis de vulnerabilidades, el desarrollo de exploits, la depuración, la ingeniería inversa y los problemas generales de seguridad cibernética.
PentesterLab tiene ejercicios interesantes, algunos de ellos son sobre desarrollo de exploits.
RebootUser tiene un laboratorio que incluye un Vulnix, una máquina de Linux vulnerable, VulVoIP - una distribución de AsteriskNOW relativamente antigua y con varios puntos débiles, y VulnVPN - una máquina virtual que puede practicar explotando el servicio VPN para obtener acceso a los servicios de servidor y "internos".
Laboratorio de BackTrack PenTesting Edition es una prueba de penetración todo en uno entorno de laboratorio que incluye todos los hosts, infraestructura de red, herramientas y objetivos necesarios para practicar las pruebas de penetración. Incluye: una red DMZ con dos destinos de host, una red "interna" con un destino de host y un firewall preconfigurado.
PwnOS es una máquina virtual Debian de un objetivo en el que puedes practicar pruebas de penetración con el objetivo de obteniendo root.
Holynix es una imagen vmware de Linux que fue construida deliberadamente para tener agujeros de seguridad para los propósitos de pruebas de penetración.
Kioptrix VM es orientado al principiante.
Scene One es un escenario de prueba de pentagrama liveCD Hecho para un poco de diversión y aprendizaje.
Sauron es un Linux Sistema con una serie de servicios web vulnerables.
La capacitación
LAMPSecurity está diseñada para ser una serie de imágenes de máquinas virtuales vulnerables junto con documentación complementaria. diseñado para enseñar seguridad en Linux, Apache, PHP y MySQL.
OSCP , OSCE , SANS 660 y HackinkDOJO son algunos de los cursos pagados que tienen buenos laboratorios prácticos.
Los sitios web de desafíos de hacking también pueden proporcionar desafíos que aumentan en dificultad, diversión y adicción. WeChall es un sitio web que acumula puntuaciones en otros sitios web de desafíos y tiene una categoría para sitios web con exploits .
Los eventos
CTF (Capturar la bandera) presentan desafíos en los que se le exige que explote software local o remoto. La mayoría de los eventos en vivo están disponibles en CTFTime pero hay los repositorios de eventos pasados y algunos CTF todavía están disponibles después del evento en vivo.
Pero para el desarrollo de exploits, sugiero que instale aplicaciones vulnerables en su propia computadora donde podría realizar un análisis fácilmente. La aplicación no necesariamente tiene que ser un servidor o ejecutarse en una computadora diferente. Vaya a exploit-db y encuentre los exploits antiguos allí, luego busque la versión de esa versión del software vulnerable y comience a trabajar en ella. Si necesita sugerencias, el exploit real puede apuntarle en la dirección correcta.