Небольшой потёртый сундук с поднятой крышкой, внутри светится зелёный флаг. Позади — экран терминала с выводом сканера портов в тёмных угольных тонах.


За два года на Hack The Box я прошёл около 70 машин - от Starting Point до Hard-уровня, добрался до ранга Pro Hacker. Первую машину Meow решал три часа, хотя весь "взлом" сводился к подключению по Telnet под логином root без пароля. Три часа. На telnet. Сейчас Easy-боксы закрываются за 40-60 минут. Дело не в инструментах - nmap и gobuster не стали умнее. Дело в методологии, которую платформа вбивает через десятки повторений: разведка -> точка входа -> закрепление -> повышение привилегий -> флаг. Этот гайд - тот путеводитель по HTB, который я хотел иметь в первый день.

Hack The Box - зачем пентестеру тренировочная площадка​

Hack The Box - платформа для практики наступательной безопасности с сообществом более 4 миллионов участников. Основана в 2017 году, штаб-квартира в Великобритании (Kent), команда распределена между UK и Грецией. Платформой пользуются более 1 500 организаций, включая компании из Fortune 500.

Суть HTB - развёрнутые виртуальные машины с уязвимостями, которые нужно найти и эксплуатировать, двигаясь по полному циклу атаки. Каждая машина - мини-пентест от сканирования портов до получения root-шелла. Не тесты с вариантами ответов - здесь нужно запускать утилиты, анализировать вывод, подбирать эксплоиты и повышать привилегии руками.

Каждая машина тренирует конкретные тактики из MITRE ATT&CK. Сканирование портов - Active Scanning (T1595, Reconnaissance). Подбор паролей к SSH - Brute Force (T1110, Credential Access). Эксплуатация уязвимости веб-приложения - Exploit Public-Facing Application (T1190, Initial Access). Повышение привилегий через ошибку конфигурации - Exploitation for Privilege Escalation (T1068, Privilege Escalation). На реальном пентесте делаете ровно то же самое, только за деньги и с дедлайном.

Разница между "решил машину на HTB" и "провёл пентест" - в масштабе. На HTB одна цель, один вектор, один root-флаг. На проекте - десятки хостов, Active Directory, сетевые сегменты, и SOC, который следит за вашей активностью. Но фундамент одинаковый - и HTB его даёт.

HTB регистрация: как создать аккаунт​

1782912329726.webp

Несколько лет назад для регистрации на Hack The Box нужно было решить invite challenge - найти JavaScript-файл inviteapi.min.js в исходном коде страницы, вызвать функцию makeInviteCode в консоли браузера, декодировать Base64-ответ и отправить POST-запрос на API-эндпоинт. Барьер отсекал случайных посетителей и сам по себе был первым уроком.

Сейчас всё проще: открываете hackthebox.com, жмёте Sign Up, вводите email и пароль. Аккаунт создаётся за минуту без инвайтов. HTB убрал входной фильтр и сделал платформу доступной для новичков. Если в каком-то старом гайде вы видите инструкцию по получению invite code - она устарела.

После регистрации вас встретит дашборд с рангом Noob, нулевым количеством очков и пустой историей решённых машин. Ранговая система прогрессирует по мере набора очков: Noob -> Script Kiddie -> Hacker -> Pro Hacker -> Elite Hacker -> Guru -> Omniscient. Каждая решённая машина или challenge двигает вверх, но забегать вперёд не стоит - ранги придут сами, если фокусироваться на процессе.

Требования к окружению перед стартом на Hack The Box​

1782912381096.webp

Прежде чем подключаться к первой машине, нужно подготовить рабочее место. Требования зависят от того, работаете вы с локальной ВМ или через Pwnbox.

Локальная виртуальная машина (рекомендуемый вариант):
  • Гипервизор: VirtualBox (бесплатный) или VMware Workstation Player
  • ОС в ВМ: Kali Linux 2024+ или Parrot Security OS
  • RAM хоста: минимум 8 ГБ (4 ГБ отдаётся под ВМ с Kali)
  • Диск: 40 ГБ свободного места под образ ВМ
  • Сеть: стабильный интернет, порты для OpenVPN не заблокированы провайдером
Стек инструментов для Starting Point (все предустановлены в Kali):
  • nmap - сканирование портов и определение сервисов
  • gobuster или ffuf - перебор директорий на веб-серверах
  • burp suite Community Edition - перехват и модификация HTTP-запросов
  • Стандартные клиенты: ssh, telnet, ftp, curl, netcat
  • john и hashcat - для задач с паролями (понадобятся после Starting Point)
Для Starting Point этого хватит за глаза. Экзотику типа bloodhound или impacket оставьте на потом - когда доберётесь до Windows-машин и Active Directory.

Альтернатива без локальной ВМ - Pwnbox. Облачная виртуальная машина на базе Parrot OS прямо в браузере HTB. Бесплатные пользователи получают ограниченное время работы, VIP-подписчики - без ограничений. Pwnbox автоматически подключается к VPN, ничего настраивать не нужно. Подходит, если хост-машина слабая или вы работаете с чужого компьютера. Но я бы рекомендовал локальную Kali - привыкнете к своему окружению, настроите под себя, и на реальном проекте не будете тратить время на "а где тут терминал".

Подключение к HTB через VPN​

1782912400407.webp

Для работы с Machines (не Challenges) обязательно VPN-подключение к внутренней сети HTB. Без него вы физически не достучитесь до IP-адреса машины.

Скачайте .ovpn-файл из меню Connect to HTB в правом верхнем углу дашборда (появляется при переходе в раздел Machines). В терминале Kali:
Bash:
sudo openvpn ~/Downloads/lab_username.ovpn
# Ждём строку "Initialization Sequence Completed"
# После этого VPN активен, можно работать с машинами
Если подключение зависает - проверьте настройки сети ВМ. В VirtualBox должен стоять "Сетевой мост" (Bridged Adapter), а не NAT. Это классическая ловушка для новичков: NAT режет OpenVPN-трафик, и вы сидите и гадаете, почему ничего не работает. После подключения в системе появится интерфейс tun0 с адресом вида 10.10.x.x - через него идёт весь трафик к машинам HTB. Проверить можно командой ip a.

Форматы заданий: HTB Machines, Challenges и другие​

1782912557255.webp

Hack The Box - не одна куча задач. Платформа предлагает несколько форматов, и понимание разницы между ними экономит время и нервы на старте.

Machines - полный цикл пентеста​

Machines - основной формат платформы. Полноценные виртуальные машины (GNU/Linux или Windows) с уязвимостями, которые нужно обнаружить и эксплуатировать от начала до конца. Типичный сценарий: сканируете порты, находите уязвимый сервис, получаете начальный доступ (foothold), повышаете привилегии до root/Administrator, считываете два флага - user.txt и root.txt.

Для работы с машинами обязательно VPN-подключение. Каждая машина имеет уникальный IP-адрес, уровень сложности (Easy, Medium, Hard, Insane) и пользовательский рейтинг реальной сложности - от "Piece of cake" до "Brainfuck". Официальная и пользовательская сложность не всегда совпадают: Easy-машина с рейтингом "Medium" от сообщества будет ощутимо труднее типичного Easy. Доверяйте рейтингу сообщества - он ближе к правде.

Машины делятся на Active и Retired. Active дают очки за решение, но по ним запрещено публиковать writeup-ы. Retired очков не дают, зато по ним доступны подробные разборы - главный обучающий ресурс. Доступ к Retired-машинам требует VIP-подписки.

В контексте цепочки атаки Easy-машина покрывает: разведку (T1082) -> эксплуатацию публичного сервиса (T1190) -> выполнение команд (T1059, Command and Scripting Interpreter) -> повышение привилегий (T1068). Medium и Hard добавляют credential dumping (T1003), файловую разведку (T1083, File and Directory Discovery) и многозвенные цепочки эксплуатации.

Hack The Box Challenges - изолированные задачи​

Challenges - точечные задания, сфокусированные на одной технике. Здесь не нужно проходить полный цикл пентеста: задача конкретная - расшифровать текст, отреверсить бинарник, найти уязвимость в веб-приложении.

Формат подключения зависит от типа challenge - и это частый источник путаницы у новичков. Часть заданий - скачиваемые архивы (ZIP-файлы с паролем hackthebox (иногда htb - точное значение указано в описании задания)), которые анализируются локально. Часть - spawnable Docker-инстансы с публичным IP-адресом и портом, VPN для них не нужен. Некоторые Pwn и Web challenges требуют одновременно и скачиваемых файлов, и Docker-инстанса. Если у задачи нет spawnable-инстанса - сам файл и есть весь challenge. Ключевое отличие от машин: большинство Challenges не требуют VPN-подключения.

Категории Challenges по данным официальной документации HTB:

КатегорияСутьТипичные навыки
WebЭксплуатация веб-приложенийSQLi, XSS, SSRF, SSTI
PwnБинарная эксплуатацияBuffer overflow, ROP-цепочки
ReversingОбратная разработкаIDA, Ghidra, динамический анализ
CryptoКриптографические задачиRSA, AES, XOR
ForensicsЦифровая криминалистикаPCAP-анализ, memory forensics
OSINTПоиск публичной информацииGeolocation, username tracking
MiscРазноеScripting, логические задачи
StegoСтеганографияСкрытые данные в файлах
HardwareАппаратные атакиАнализ прошивок, протоколов
MobileМобильные приложенияAPK-реверс, Frida

Очки за Active Challenges зависят от сложности: Easy - 10-30 очков, Medium - 40-50, Hard - 50-100. Retired Challenges очков не дают, но подходят для обучения.

Pro Labs, Academy и другие форматы​

Pro Labs - корпоративные сценарии для опытных пользователей. RastaLabs - полноценная среда Windows Active Directory для отработки внутреннего пентеста: от первичного закрепления до захвата домена. OffShore - симуляция теста на проникновение международного банка от DMZ до внутренней сети. Оба требуют отдельной оплаты и реального опыта - на старте сюда лезть не стоит.

HTB Academy - обучающая платформа с теоретическими модулями и встроенными практическими заданиями. Формат ближе к TryHackMe: пошаговые объяснения, затем задания на закрепление. Модуль "Network Enumeration with Nmap" - хорошая стартовая точка для тех, кто хочет системно разобраться в сканировании.

Sherlocks - формат для blue team: расследование инцидентов по предоставленным артефактам. Для пентестеров на старте не приоритет, но полезен для понимания того, как выглядит ваша работа с другой стороны - глазами защитника. Когда знаешь, что ищет SOC, проще понять, как не спалиться на реальном проекте.

CTF-соревнования. HTB регулярно проводит собственные CTF-ивенты (Cyber Apocalypse, Business CTF и другие). Система использует динамический скоринг: задача стартует с максимальным количеством очков, и чем больше команд её решают, тем меньше очков она стоит. Для знакомства с форматом доступен CTF Try Out - демо-соревнование с 10 заданиями по категориям Warmup, Web, Forensics, Reversing, Misc и Crypto.

HTB Starting Point: первые машины для новичков​

Starting Point - специальная секция с машинами, выстроенными в обучающую последовательность. Рекомендуемая стартовая точка для новичков. Каждая машина сопровождается пошаговыми вопросами - по сути guided walkthrough, где задания подсказывают направление действий.

Starting Point разделён на уровни (Tier 0, Tier 1, Tier 2), каждый добавляет новые техники:

Tier 0 - абсолютная база. Машины учат подключаться по VPN, использовать nmap, работать с базовыми протоколами. Машина Meow - открыт порт 23 (Telnet), вход под логином root без пароля. Весь "взлом" - использование дефолтных учётных данных (Valid Accounts, T1078, Initial Access). Звучит смешно, но на реальных пентестах дефолтные креды - до сих пор один из самых частых векторов. Другие машины в Tier 0 покрывают FTP (анонимный доступ), SMB (листинг шар), Redis (неавторизованный доступ к базе).

Tier 1 - появляются веб-уязвимости. SQL-инъекции (Injection, по классификации OWASP A03:2021), работа с Burp Suite, первые столкновения с CMS и их мисконфигурациями.

Tier 2 - переход к полноценному пентесту. Более сложные цепочки: обнаружение уязвимого веб-приложения -> получение начального доступа -> разведка файловой системы (T1083) -> повышение привилегий.

Методология обучения в Starting Point - вопрос-ответ. На каждом шаге задаётся вопрос: "Какой инструмент используется для сканирования портов?" (nmap), "Какой сервис работает на порту 23?" (telnet), "Под каким логином можно войти без пароля?" (root). Ответы ведут к решению машины, формируя последовательность мышления. В конце - отправка флага.

Решение задач HTB: пошаговый workflow​

Типичный подход к решению машины. Этот workflow работает и на Starting Point, и на Hard-боксах - разница в количестве итераций между шагами и в том, сколько раз вы пойдёте гуглить.

Шаг 1: Запуск машины. В интерфейсе HTB жмёте Spawn Machine. Получаете IP-адрес вида 10.129.x.x, уникальный для вашей сессии. Машину можно перезапустить (Reset) или остановить (Terminate) в любой момент.

Шаг 2: Проверка связи. Убеждаетесь, что VPN работает: ping 10.129.x.x. Пакеты идут - всё в порядке. Docker-инстансы Challenges пинговать бесполезно - они отвечают только на указанном порту.

Шаг 3: Разведка. Запускаете nmap для определения открытых портов и сервисов:
Bash:
nmap -sC -sV 10.129.x.x
# -sC - дефолтные NSE-скрипты (проверка на типовые уязвимости)
# -sV - определение версий ПО на каждом порту
На Starting Point этих флагов достаточно. На продвинутых машинах добавляется полное сканирование всех 65535 портов (-p-), UDP-скан (-sU), скрипты для конкретных сервисов (--script smb-enum-shares).

Шаг 4: Анализ вывода. Смотрите, какие порты открыты и какие сервисы за ними. Порт 80 - веб-сервер (открываете в браузере, запускаете gobuster для перебора директорий). Порт 22 - SSH (нужны учётные данные). Порт 445 - SMB (проверяете анонимный доступ к шарам). Порт 3306 - MySQL (пробуете подключиться с дефолтными кредами). Каждый открытый порт - потенциальная дверь. Вопрос - к какой из них подходит ваш ключ.

Шаг 5: Поиск точки входа и эксплуатация. Определяете вектор атаки исходя из найденных сервисов. Гуглите версии ПО + "exploit", проверяете наличие известных CVE, тестируете типовые мисконфигурации. На Easy-машинах обычно один явный вектор, на Medium - несколько ложных следов (и это тоже тренировка - отличать кроличьи норы от реальных векторов).

Шаг 6: Повышение привилегий. После получения начального доступа (foothold) нужно перейти от пользователя с ограниченными правами к root. Типичные векторы: SUID-бинарники, sudo-мисконфигурации, cronjob-ы с неправильными правами, уязвимые сервисы запущенные от root. Здесь пригодится GTFOBins - каталог стандартных Unix-утилит, которые можно использовать для повышения привилегий (например, find, docker, base64). Я держу его открытым в отдельной вкладке на каждой GNU/Linux-машине.

Шаг 7: Считывание и отправка флагов. user.txt обычно в домашней директории пользователя, root.txt - в /root/. Копируете строку вида HTB{XXXXXX} и вставляете в поле отправки на странице машины.

Этот workflow - скелет любого пентеста. На реальных проектах между шагами 3 и 5 могут быть часы работы с веб-приложением, десятки запросов через Burp Suite, написание кастомных скриптов. Структура не меняется: разведка -> анализ -> эксплуатация -> пост-эксплуатация -> отчёт.

HTB writeup для новичков: как читать и не навредить себе​

Writeup - подробный разбор решения машины или challenge от другого пользователя. На Retired-контенте writeup-ы разрешены и легко гуглятся. Это мощный обучающий ресурс, который при неправильном подходе превращается в костыль. Знаю по себе: первые пять машин я "решал", копируя команды из writeup-ов. Очки набрал, навыков - ноль.

Рабочий алгоритм использования writeup-ов:
  1. Пробуете решить самостоятельно минимум 2-3 часа. Запускаете разведку, гуглите незнакомые сервисы, пробуете типовые эксплоиты
  2. Если застряли - читаете writeup ровно до того момента, где застряли. Не дальше
  3. Закрываете writeup, повторяете шаг самостоятельно с пониманием "почему"
  4. Двигаетесь дальше сами, пока снова не упрётесь
  5. После полного прохождения читаете 2-3 разных writeup целиком. Каждый автор подходит к машине по-разному - альтернативные пути расширяют арсенал
На Starting Point такой подход избыточен - там вопросы ведут за руку. Начиная с Easy-машин вне Starting Point это единственный адекватный способ расти.

Ресурсы: видео IppSec на YouTube - по каждой Retired-машине подробный разбор (этот человек - отдельная легенда), текстовые writeup-ы в блогах (0xdf, Rana Khalil), форум HTB - подсказки без прямых спойлеров. Официальный блог HTB также рекомендует записи John Hammond для знакомства с CTF-форматом.

Как начать на Hack The Box: путь после Starting Point​

Закончили Starting Point - переходите к Active Easy-машинам. Несколько ориентиров:

Выбор по ОС. Если ваш бэкграунд - GNU/Linux, начинайте с GNU/Linux-машин. Привычный терминал, знакомая файловая система, понятные механизмы повышения привилегий (sudo, SUID, cron). Windows-машины требуют знания PowerShell, специфики служб (SMB, Active Directory, WinRM) и совершенно другого подхода к privesc. Я начинал с GNU/Linux и не жалею - переход на Windows потом дался легче, потому что методология уже была в голове.

Выбор по пользовательскому рейтингу. Кроме официальной сложности учитывайте оценку от сообщества. Easy-машина с рейтингом "Piece of cake" - хороший следующий шаг. Easy-машина с рейтингом "Medium" от пользователей окажется ощутимо труднее.

Примерная прогрессия навыков:

ЭтапЧто решатьКлючевые техники MITRE ATT&CK
Starting PointGuided-машины Tier 0-2T1078 (Valid Accounts), T1046 (Network Service Discovery)
Easy Machines (10-15 штук)Active + Retired с writeupT1190 (Initial Access), T1059 (Command and Scripting Interpreter)
Easy ChallengesWeb, Crypto, ForensicsЗависит от категории
Medium MachinesПосле 15+ EasyT1068 (Privesc), T1003 (Credential Dumping)
Hard MachinesПосле 15-20+ MediumКомплексные цепочки, AD-атаки

VIP-подписка: нужна ли на старте. Бесплатный аккаунт даёт доступ к Starting Point, Active-машинам и Active Challenges. Retired-контент - только для VIP. На старте бесплатного плана хватает на месяцы: пока проходите Starting Point и первые Active Easy-боксы, VIP не нужен. Подписка имеет смысл, когда хотите проходить Retired-машины вместе с writeup-ами - это заметно ускоряет обучение. Ретайред-машины - фактически учебник с ответами, по которому можно разобрать десятки разных техник.

Ограничения платформы и где HTB не поможет​

HTB - отличный тренажёр, но у него есть слепые зоны. Понимание этих зон не менее важно, чем умение решать машины.

HTB не учит скрытности. На платформе можно шуметь: запускать агрессивное сканирование nmap, брутить пароли без ограничений, слать массовые запросы к веб-серверу. На реальном пентесте с активным SOC и EDR (CrowdStrike Falcon, Elastic Security 8.x+, SentinelOne) такой подход закончится блокировкой за минуту. Техники evasion и работа "под радаром" - навык, который HTB почти не тренирует. На одном проекте коллега привык к HTB-стилю и запустил nmap -A -T5 по всей подсети - SOC поднял тревогу через 40 секунд.

CTF-машина != реальная инфраструктура. На HTB уязвимость заложена by design - вы знаете, что точка входа существует. На реальном внешнем пентесте 80% времени уходит на разведку, и иногда уязвимость не в техническом сервисе, а в человеческом факторе. HTB не тренирует social engineering, OSINT по живым целям и физический доступ.

Нет командной работы и отчётности. Реальный пентест - командная работа с разделением ролей и финальным отчётом для заказчика. На HTB вы один, и "отчёт" - это cat root.txt. Навык написания отчётов с CVSS-скорами и рекомендациями нужно нарабатывать отдельно.

Нет grey box-сценариев из коробки. На большинстве машин HTB вы начинаете с нуля (black box): ни учётных данных, ни документации, ни схемы сети. На реальных проектах grey box (выданные учётные данные low/high privileged) - стандарт. Переход от HTB к реальным проектам требует адаптации мышления: когда у тебя уже есть low-priv креды, цепочка атаки выглядит совсем иначе.

Эти ограничения не делают платформу бесполезной - HTB даёт фундамент, на котором строится всё остальное. Между "решил 50 машин" и "готов к работе пентестером" есть дистанция, но без этих 50 машин дистанция ещё больше.

Практический чеклист: первая неделя на HTB​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Я наблюдаю два типа новичков, которые буксуют. Первые месяцами смотрят видео IppSec и читают writeup-ы, но ни разу не запустили nmap против живой цели. Вторые кидаются на Medium-машины с нулевым опытом, ничего не понимают и бросают через два дня. Оба подхода - трата времени.

HTB работает одним способом: берёте машину своего уровня, пытаетесь сами, застреваете, разбираетесь почему, иногда подсматриваете в writeup - и двигаетесь дальше. Никакого ускорителя не существует. Через 20 машин начинаете видеть паттерны: одни и те же мисконфигурации, типичные цепочки повышения привилегий, предсказуемые ошибки разработчиков. Именно эти паттерны - половина работы пентестера на реальном проекте. Другая половина - умение описать найденное так, чтобы заказчик понял и исправил. Этому HTB не учит, но без первой половины вторая бессмысленна.

Запускайте первую машину. Meow ждёт на Starting Point - порт 23, логин root, пароль пустой. Три часа у вас не уйдёт. Наверное.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →

Популярный контент

🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab