Vulnhub adalah kumpulan distribusi yang rentan beserta penelusuran yang dikontribusikan oleh komunitas.
exploit-exercises.com menyediakan berbagai mesin virtual, dokumentasi, dan tantangan yang dapat digunakan untuk mempelajari berbagai masalah keamanan komputer seperti eskalasi hak istimewa, analisis kerentanan, pengembangan eksploit, debugging, rekayasa balik, dan masalah keamanan cyber umum.
PentesterLab memiliki latihan yang menarik, beberapa di antaranya tentang pengembangan exploit.
RebootUser memiliki lab yang menyertakan Vulnix - mesin Linux yang rentan, VulVoIP - distribusi AsteriskNOW yang relatif lama dan memiliki sejumlah kelemahan, dan VulnVPN - VM yang dapat Anda praktikkan mengeksploitasi layanan VPN untuk mendapatkan akses ke server dan 'internal' layanan.
Lab BackTrack PenTesting Edition adalah lingkungan lab pengujian penetrasi all-in-one yang mencakup semua host, infrastruktur jaringan, alat, dan target yang diperlukan untuk mempraktikkan pengujian penetrasi. Ini mencakup:jaringan DMZ dengan dua target host, jaringan "internal" dengan satu target host, dan firewall yang telah dikonfigurasi sebelumnya.
PwnOS adalah VM Debian dari target tempat Anda dapat mempraktikkan pengujian penetrasi dengan tujuan mendapatkan root.
Holynix adalah gambar vmware Linux yang sengaja dibuat untuk memiliki celah keamanan untuk tujuan pengujian penetrasi.
Kioptrix VM ditargetkan untuk pemula.
Adegan Satu adalah liveCD skenario pentesting yang dibuat untuk sedikit kesenangan dan pembelajaran.
Sauron adalah sistem Linux dengan sejumlah layanan web yang rentan.
Keamanan LAMP pelatihan dirancang untuk menjadi rangkaian gambar mesin virtual yang rentan beserta dokumentasi pelengkap yang dirancang untuk mengajarkan keamanan Linux, Apache, PHP, dan MySQL.
OSCP, OSCE, SANS 660, dan HackinkDOJO adalah beberapa kursus berbayar yang memiliki lab praktik yang bagus.
Meretas situs web tantangan juga dapat memberikan tantangan yang semakin sulit, menyenangkan dan membuat ketagihan. WeChall adalah situs web yang mengumpulkan skor di situs web tantangan lain dan memiliki kategori untuk situs web dengan eksploitasi.
KKP Acara (Capture The Flag) memiliki tantangan di mana Anda diharuskan mengeksploitasi perangkat lunak lokal atau jarak jauh. Sebagian besar acara langsung tersedia di CTFTime tetapi ada repositori acara sebelumnya dan beberapa CTF masih tersedia setelah acara langsung.
Tetapi untuk pengembangan eksploit, saya sarankan untuk menginstal aplikasi yang rentan di komputer Anda sendiri di mana Anda dapat dengan mudah melakukan analisis. Aplikasi tidak harus berupa server atau dijalankan di komputer lain. Pergi ke exploit-db dan temukan exploit lama di sana, lalu cari versi perangkat lunak yang rentan itu dan mulailah mengerjakannya. Jika Anda membutuhkan petunjuk, eksploit sebenarnya dapat mengarahkan Anda ke arah yang benar.
Jika Anda tertarik meretas aplikasi web, lihat OWASP Hackademic Challenges. Kedengarannya agak bersinggungan dengan minat Anda, tetapi saya pikir saya akan menyebutkannya untuk berjaga-jaga.
Anda dapat melihat Metasploitable 1 &2 dari Rapid7!