¿Está bien usar exploits como los de Metasploit o similares contra sitios legalmente hackeables? Si no, ¿hay otros servidores que estén abiertos a eso?
Todo depende de los Términos de servicio para los sitios hackeables. Te dirán lo que permiten.
Para Metasploit, producen Metasploitable, que es una máquina virtual para usar como práctica objetivo.
Lea otras preguntas en las etiquetas metasploit