За два года на Hack The Box я прошёл около 70 машин - от Starting Point до Hard-уровня, добрался до ранга Pro Hacker. Первую машину Meow решал три часа, хотя весь "взлом" сводился к подключению по Telnet под логином root без пароля. Три часа. На
telnet. Сейчас Easy-боксы закрываются за 40-60 минут. Дело не в инструментах - nmap и gobuster не стали умнее. Дело в методологии, которую платформа вбивает через десятки повторений: разведка -> точка входа -> закрепление -> повышение привилегий -> флаг. Этот гайд - тот путеводитель по HTB, который я хотел иметь в первый день.Hack The Box - зачем пентестеру тренировочная площадка
Hack The Box - платформа для практики наступательной безопасности с сообществом более 4 миллионов участников. Основана в 2017 году, штаб-квартира в Великобритании (Kent), команда распределена между UK и Грецией. Платформой пользуются более 1 500 организаций, включая компании из Fortune 500.Суть HTB - развёрнутые виртуальные машины с уязвимостями, которые нужно найти и эксплуатировать, двигаясь по полному циклу атаки. Каждая машина - мини-пентест от сканирования портов до получения root-шелла. Не тесты с вариантами ответов - здесь нужно запускать утилиты, анализировать вывод, подбирать эксплоиты и повышать привилегии руками.
Каждая машина тренирует конкретные тактики из MITRE ATT&CK. Сканирование портов - Active Scanning (T1595, Reconnaissance). Подбор паролей к SSH - Brute Force (T1110, Credential Access). Эксплуатация уязвимости веб-приложения - Exploit Public-Facing Application (T1190, Initial Access). Повышение привилегий через ошибку конфигурации - Exploitation for Privilege Escalation (T1068, Privilege Escalation). На реальном пентесте делаете ровно то же самое, только за деньги и с дедлайном.
Разница между "решил машину на HTB" и "провёл пентест" - в масштабе. На HTB одна цель, один вектор, один root-флаг. На проекте - десятки хостов, Active Directory, сетевые сегменты, и SOC, который следит за вашей активностью. Но фундамент одинаковый - и HTB его даёт.
HTB регистрация: как создать аккаунт
Несколько лет назад для регистрации на Hack The Box нужно было решить invite challenge - найти JavaScript-файл
inviteapi.min.js в исходном коде страницы, вызвать функцию makeInviteCode в консоли браузера, декодировать Base64-ответ и отправить POST-запрос на API-эндпоинт. Барьер отсекал случайных посетителей и сам по себе был первым уроком.Сейчас всё проще: открываете hackthebox.com, жмёте Sign Up, вводите email и пароль. Аккаунт создаётся за минуту без инвайтов. HTB убрал входной фильтр и сделал платформу доступной для новичков. Если в каком-то старом гайде вы видите инструкцию по получению invite code - она устарела.
После регистрации вас встретит дашборд с рангом Noob, нулевым количеством очков и пустой историей решённых машин. Ранговая система прогрессирует по мере набора очков: Noob -> Script Kiddie -> Hacker -> Pro Hacker -> Elite Hacker -> Guru -> Omniscient. Каждая решённая машина или challenge двигает вверх, но забегать вперёд не стоит - ранги придут сами, если фокусироваться на процессе.
Требования к окружению перед стартом на Hack The Box
Прежде чем подключаться к первой машине, нужно подготовить рабочее место. Требования зависят от того, работаете вы с локальной ВМ или через Pwnbox.
Локальная виртуальная машина (рекомендуемый вариант):
- Гипервизор: VirtualBox (бесплатный) или VMware Workstation Player
- ОС в ВМ: Kali Linux 2024+ или Parrot Security OS
- RAM хоста: минимум 8 ГБ (4 ГБ отдаётся под ВМ с Kali)
- Диск: 40 ГБ свободного места под образ ВМ
- Сеть: стабильный интернет, порты для OpenVPN не заблокированы провайдером
nmap- сканирование портов и определение сервисовgobusterилиffuf- перебор директорий на веб-серверахburp suiteCommunity Edition - перехват и модификация HTTP-запросов- Стандартные клиенты:
ssh,telnet,ftp,curl,netcat johnиhashcat- для задач с паролями (понадобятся после Starting Point)
bloodhound или impacket оставьте на потом - когда доберётесь до Windows-машин и Active Directory.Альтернатива без локальной ВМ - Pwnbox. Облачная виртуальная машина на базе Parrot OS прямо в браузере HTB. Бесплатные пользователи получают ограниченное время работы, VIP-подписчики - без ограничений. Pwnbox автоматически подключается к VPN, ничего настраивать не нужно. Подходит, если хост-машина слабая или вы работаете с чужого компьютера. Но я бы рекомендовал локальную Kali - привыкнете к своему окружению, настроите под себя, и на реальном проекте не будете тратить время на "а где тут терминал".
Подключение к HTB через VPN
Для работы с Machines (не Challenges) обязательно VPN-подключение к внутренней сети HTB. Без него вы физически не достучитесь до IP-адреса машины.
Скачайте
.ovpn-файл из меню Connect to HTB в правом верхнем углу дашборда (появляется при переходе в раздел Machines). В терминале Kali:
Bash:
sudo openvpn ~/Downloads/lab_username.ovpn
# Ждём строку "Initialization Sequence Completed"
# После этого VPN активен, можно работать с машинами
tun0 с адресом вида 10.10.x.x - через него идёт весь трафик к машинам HTB. Проверить можно командой ip a.Форматы заданий: HTB Machines, Challenges и другие
Hack The Box - не одна куча задач. Платформа предлагает несколько форматов, и понимание разницы между ними экономит время и нервы на старте.
Machines - полный цикл пентеста
Machines - основной формат платформы. Полноценные виртуальные машины (GNU/Linux или Windows) с уязвимостями, которые нужно обнаружить и эксплуатировать от начала до конца. Типичный сценарий: сканируете порты, находите уязвимый сервис, получаете начальный доступ (foothold), повышаете привилегии до root/Administrator, считываете два флага -user.txt и root.txt.Для работы с машинами обязательно VPN-подключение. Каждая машина имеет уникальный IP-адрес, уровень сложности (Easy, Medium, Hard, Insane) и пользовательский рейтинг реальной сложности - от "Piece of cake" до "Brainfuck". Официальная и пользовательская сложность не всегда совпадают: Easy-машина с рейтингом "Medium" от сообщества будет ощутимо труднее типичного Easy. Доверяйте рейтингу сообщества - он ближе к правде.
Машины делятся на Active и Retired. Active дают очки за решение, но по ним запрещено публиковать writeup-ы. Retired очков не дают, зато по ним доступны подробные разборы - главный обучающий ресурс. Доступ к Retired-машинам требует VIP-подписки.
В контексте цепочки атаки Easy-машина покрывает: разведку (T1082) -> эксплуатацию публичного сервиса (T1190) -> выполнение команд (T1059, Command and Scripting Interpreter) -> повышение привилегий (T1068). Medium и Hard добавляют credential dumping (T1003), файловую разведку (T1083, File and Directory Discovery) и многозвенные цепочки эксплуатации.
Hack The Box Challenges - изолированные задачи
Challenges - точечные задания, сфокусированные на одной технике. Здесь не нужно проходить полный цикл пентеста: задача конкретная - расшифровать текст, отреверсить бинарник, найти уязвимость в веб-приложении.Формат подключения зависит от типа challenge - и это частый источник путаницы у новичков. Часть заданий - скачиваемые архивы (ZIP-файлы с паролем
hackthebox (иногда htb - точное значение указано в описании задания)), которые анализируются локально. Часть - spawnable Docker-инстансы с публичным IP-адресом и портом, VPN для них не нужен. Некоторые Pwn и Web challenges требуют одновременно и скачиваемых файлов, и Docker-инстанса. Если у задачи нет spawnable-инстанса - сам файл и есть весь challenge. Ключевое отличие от машин: большинство Challenges не требуют VPN-подключения.Категории Challenges по данным официальной документации HTB:
| Категория | Суть | Типичные навыки |
|---|---|---|
| Web | Эксплуатация веб-приложений | SQLi, XSS, SSRF, SSTI |
| Pwn | Бинарная эксплуатация | Buffer overflow, ROP-цепочки |
| Reversing | Обратная разработка | IDA, Ghidra, динамический анализ |
| Crypto | Криптографические задачи | RSA, AES, XOR |
| Forensics | Цифровая криминалистика | PCAP-анализ, memory forensics |
| OSINT | Поиск публичной информации | Geolocation, username tracking |
| Misc | Разное | Scripting, логические задачи |
| Stego | Стеганография | Скрытые данные в файлах |
| Hardware | Аппаратные атаки | Анализ прошивок, протоколов |
| Mobile | Мобильные приложения | APK-реверс, Frida |
Очки за Active Challenges зависят от сложности: Easy - 10-30 очков, Medium - 40-50, Hard - 50-100. Retired Challenges очков не дают, но подходят для обучения.
Pro Labs, Academy и другие форматы
Pro Labs - корпоративные сценарии для опытных пользователей. RastaLabs - полноценная среда Windows Active Directory для отработки внутреннего пентеста: от первичного закрепления до захвата домена. OffShore - симуляция теста на проникновение международного банка от DMZ до внутренней сети. Оба требуют отдельной оплаты и реального опыта - на старте сюда лезть не стоит.HTB Academy - обучающая платформа с теоретическими модулями и встроенными практическими заданиями. Формат ближе к TryHackMe: пошаговые объяснения, затем задания на закрепление. Модуль "Network Enumeration with Nmap" - хорошая стартовая точка для тех, кто хочет системно разобраться в сканировании.
Sherlocks - формат для blue team: расследование инцидентов по предоставленным артефактам. Для пентестеров на старте не приоритет, но полезен для понимания того, как выглядит ваша работа с другой стороны - глазами защитника. Когда знаешь, что ищет SOC, проще понять, как не спалиться на реальном проекте.
CTF-соревнования. HTB регулярно проводит собственные CTF-ивенты (Cyber Apocalypse, Business CTF и другие). Система использует динамический скоринг: задача стартует с максимальным количеством очков, и чем больше команд её решают, тем меньше очков она стоит. Для знакомства с форматом доступен CTF Try Out - демо-соревнование с 10 заданиями по категориям Warmup, Web, Forensics, Reversing, Misc и Crypto.
HTB Starting Point: первые машины для новичков
Starting Point - специальная секция с машинами, выстроенными в обучающую последовательность. Рекомендуемая стартовая точка для новичков. Каждая машина сопровождается пошаговыми вопросами - по сути guided walkthrough, где задания подсказывают направление действий.Starting Point разделён на уровни (Tier 0, Tier 1, Tier 2), каждый добавляет новые техники:
Tier 0 - абсолютная база. Машины учат подключаться по VPN, использовать
nmap, работать с базовыми протоколами. Машина Meow - открыт порт 23 (Telnet), вход под логином root без пароля. Весь "взлом" - использование дефолтных учётных данных (Valid Accounts, T1078, Initial Access). Звучит смешно, но на реальных пентестах дефолтные креды - до сих пор один из самых частых векторов. Другие машины в Tier 0 покрывают FTP (анонимный доступ), SMB (листинг шар), Redis (неавторизованный доступ к базе).Tier 1 - появляются веб-уязвимости. SQL-инъекции (Injection, по классификации OWASP A03:2021), работа с Burp Suite, первые столкновения с CMS и их мисконфигурациями.
Tier 2 - переход к полноценному пентесту. Более сложные цепочки: обнаружение уязвимого веб-приложения -> получение начального доступа -> разведка файловой системы (T1083) -> повышение привилегий.
Методология обучения в Starting Point - вопрос-ответ. На каждом шаге задаётся вопрос: "Какой инструмент используется для сканирования портов?" (nmap), "Какой сервис работает на порту 23?" (telnet), "Под каким логином можно войти без пароля?" (root). Ответы ведут к решению машины, формируя последовательность мышления. В конце - отправка флага.
Решение задач HTB: пошаговый workflow
Типичный подход к решению машины. Этот workflow работает и на Starting Point, и на Hard-боксах - разница в количестве итераций между шагами и в том, сколько раз вы пойдёте гуглить.Шаг 1: Запуск машины. В интерфейсе HTB жмёте Spawn Machine. Получаете IP-адрес вида 10.129.x.x, уникальный для вашей сессии. Машину можно перезапустить (Reset) или остановить (Terminate) в любой момент.
Шаг 2: Проверка связи. Убеждаетесь, что VPN работает:
ping 10.129.x.x. Пакеты идут - всё в порядке. Docker-инстансы Challenges пинговать бесполезно - они отвечают только на указанном порту.Шаг 3: Разведка. Запускаете nmap для определения открытых портов и сервисов:
Bash:
nmap -sC -sV 10.129.x.x
# -sC - дефолтные NSE-скрипты (проверка на типовые уязвимости)
# -sV - определение версий ПО на каждом порту
-p-), UDP-скан (-sU), скрипты для конкретных сервисов (--script smb-enum-shares).Шаг 4: Анализ вывода. Смотрите, какие порты открыты и какие сервисы за ними. Порт 80 - веб-сервер (открываете в браузере, запускаете
gobuster для перебора директорий). Порт 22 - SSH (нужны учётные данные). Порт 445 - SMB (проверяете анонимный доступ к шарам). Порт 3306 - MySQL (пробуете подключиться с дефолтными кредами). Каждый открытый порт - потенциальная дверь. Вопрос - к какой из них подходит ваш ключ.Шаг 5: Поиск точки входа и эксплуатация. Определяете вектор атаки исходя из найденных сервисов. Гуглите версии ПО + "exploit", проверяете наличие известных CVE, тестируете типовые мисконфигурации. На Easy-машинах обычно один явный вектор, на Medium - несколько ложных следов (и это тоже тренировка - отличать кроличьи норы от реальных векторов).
Шаг 6: Повышение привилегий. После получения начального доступа (foothold) нужно перейти от пользователя с ограниченными правами к root. Типичные векторы: SUID-бинарники, sudo-мисконфигурации, cronjob-ы с неправильными правами, уязвимые сервисы запущенные от root. Здесь пригодится GTFOBins - каталог стандартных Unix-утилит, которые можно использовать для повышения привилегий (например,
find, docker, base64). Я держу его открытым в отдельной вкладке на каждой GNU/Linux-машине.Шаг 7: Считывание и отправка флагов.
user.txt обычно в домашней директории пользователя, root.txt - в /root/. Копируете строку вида HTB{XXXXXX} и вставляете в поле отправки на странице машины.Этот workflow - скелет любого пентеста. На реальных проектах между шагами 3 и 5 могут быть часы работы с веб-приложением, десятки запросов через Burp Suite, написание кастомных скриптов. Структура не меняется: разведка -> анализ -> эксплуатация -> пост-эксплуатация -> отчёт.
HTB writeup для новичков: как читать и не навредить себе
Writeup - подробный разбор решения машины или challenge от другого пользователя. На Retired-контенте writeup-ы разрешены и легко гуглятся. Это мощный обучающий ресурс, который при неправильном подходе превращается в костыль. Знаю по себе: первые пять машин я "решал", копируя команды из writeup-ов. Очки набрал, навыков - ноль.Рабочий алгоритм использования writeup-ов:
- Пробуете решить самостоятельно минимум 2-3 часа. Запускаете разведку, гуглите незнакомые сервисы, пробуете типовые эксплоиты
- Если застряли - читаете writeup ровно до того момента, где застряли. Не дальше
- Закрываете writeup, повторяете шаг самостоятельно с пониманием "почему"
- Двигаетесь дальше сами, пока снова не упрётесь
- После полного прохождения читаете 2-3 разных writeup целиком. Каждый автор подходит к машине по-разному - альтернативные пути расширяют арсенал
Ресурсы: видео IppSec на YouTube - по каждой Retired-машине подробный разбор (этот человек - отдельная легенда), текстовые writeup-ы в блогах (0xdf, Rana Khalil), форум HTB - подсказки без прямых спойлеров. Официальный блог HTB также рекомендует записи John Hammond для знакомства с CTF-форматом.
Как начать на Hack The Box: путь после Starting Point
Закончили Starting Point - переходите к Active Easy-машинам. Несколько ориентиров:Выбор по ОС. Если ваш бэкграунд - GNU/Linux, начинайте с GNU/Linux-машин. Привычный терминал, знакомая файловая система, понятные механизмы повышения привилегий (sudo, SUID, cron). Windows-машины требуют знания PowerShell, специфики служб (SMB, Active Directory, WinRM) и совершенно другого подхода к privesc. Я начинал с GNU/Linux и не жалею - переход на Windows потом дался легче, потому что методология уже была в голове.
Выбор по пользовательскому рейтингу. Кроме официальной сложности учитывайте оценку от сообщества. Easy-машина с рейтингом "Piece of cake" - хороший следующий шаг. Easy-машина с рейтингом "Medium" от пользователей окажется ощутимо труднее.
Примерная прогрессия навыков:
| Этап | Что решать | Ключевые техники MITRE ATT&CK |
|---|---|---|
| Starting Point | Guided-машины Tier 0-2 | T1078 (Valid Accounts), T1046 (Network Service Discovery) |
| Easy Machines (10-15 штук) | Active + Retired с writeup | T1190 (Initial Access), T1059 (Command and Scripting Interpreter) |
| Easy Challenges | Web, Crypto, Forensics | Зависит от категории |
| Medium Machines | После 15+ Easy | T1068 (Privesc), T1003 (Credential Dumping) |
| Hard Machines | После 15-20+ Medium | Комплексные цепочки, AD-атаки |
VIP-подписка: нужна ли на старте. Бесплатный аккаунт даёт доступ к Starting Point, Active-машинам и Active Challenges. Retired-контент - только для VIP. На старте бесплатного плана хватает на месяцы: пока проходите Starting Point и первые Active Easy-боксы, VIP не нужен. Подписка имеет смысл, когда хотите проходить Retired-машины вместе с writeup-ами - это заметно ускоряет обучение. Ретайред-машины - фактически учебник с ответами, по которому можно разобрать десятки разных техник.
Ограничения платформы и где HTB не поможет
HTB - отличный тренажёр, но у него есть слепые зоны. Понимание этих зон не менее важно, чем умение решать машины.HTB не учит скрытности. На платформе можно шуметь: запускать агрессивное сканирование nmap, брутить пароли без ограничений, слать массовые запросы к веб-серверу. На реальном пентесте с активным SOC и EDR (CrowdStrike Falcon, Elastic Security 8.x+, SentinelOne) такой подход закончится блокировкой за минуту. Техники evasion и работа "под радаром" - навык, который HTB почти не тренирует. На одном проекте коллега привык к HTB-стилю и запустил
nmap -A -T5 по всей подсети - SOC поднял тревогу через 40 секунд.CTF-машина != реальная инфраструктура. На HTB уязвимость заложена by design - вы знаете, что точка входа существует. На реальном внешнем пентесте 80% времени уходит на разведку, и иногда уязвимость не в техническом сервисе, а в человеческом факторе. HTB не тренирует social engineering, OSINT по живым целям и физический доступ.
Нет командной работы и отчётности. Реальный пентест - командная работа с разделением ролей и финальным отчётом для заказчика. На HTB вы один, и "отчёт" - это
cat root.txt. Навык написания отчётов с CVSS-скорами и рекомендациями нужно нарабатывать отдельно.Нет grey box-сценариев из коробки. На большинстве машин HTB вы начинаете с нуля (black box): ни учётных данных, ни документации, ни схемы сети. На реальных проектах grey box (выданные учётные данные low/high privileged) - стандарт. Переход от HTB к реальным проектам требует адаптации мышления: когда у тебя уже есть low-priv креды, цепочка атаки выглядит совсем иначе.
Эти ограничения не делают платформу бесполезной - HTB даёт фундамент, на котором строится всё остальное. Между "решил 50 машин" и "готов к работе пентестером" есть дистанция, но без этих 50 машин дистанция ещё больше.
Практический чеклист: первая неделя на HTB
📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме
Я наблюдаю два типа новичков, которые буксуют. Первые месяцами смотрят видео IppSec и читают writeup-ы, но ни разу не запустили
nmap против живой цели. Вторые кидаются на Medium-машины с нулевым опытом, ничего не понимают и бросают через два дня. Оба подхода - трата времени.HTB работает одним способом: берёте машину своего уровня, пытаетесь сами, застреваете, разбираетесь почему, иногда подсматриваете в writeup - и двигаетесь дальше. Никакого ускорителя не существует. Через 20 машин начинаете видеть паттерны: одни и те же мисконфигурации, типичные цепочки повышения привилегий, предсказуемые ошибки разработчиков. Именно эти паттерны - половина работы пентестера на реальном проекте. Другая половина - умение описать найденное так, чтобы заказчик понял и исправил. Этому HTB не учит, но без первой половины вторая бессмысленна.
Запускайте первую машину. Meow ждёт на Starting Point - порт 23, логин root, пароль пустой. Три часа у вас не уйдёт. Наверное.
Последнее редактирование модератором: