Ein guter Einstieg in praktisches Ethical Hacking ist hackthebox.eu.

Was ist HackTheBox?

HackTheBox ist eine Webseite, welche virtuelle Maschinen bereitstellt, welche bewusst mit Schwachstellen ausgestattet sind. Diese werden von Mitgliedern der Community erstellt und dann auf HackTheBox hochgeladen. Dabei werden die ‚Machines‘ eingeteilt in ‚retired‘ und ‚active‘.

Zu aktiven Maschinen dürfen keine Lösungen veröffentlicht werden und keine Tipps gegeben werden, d.h. diese müssen ohne Hilfe gelöst werden. Die pensionierten (‚retired‘) Maschinen sind mit Walkthroughs verfügbar, aber diese können nur gehackt werden, wenn man die VIP-Mitgliedschaft abschließt.

HackTheBox für Beginner

Gerade für Beginner sind die retired Machines ein sehr guter Einstieg. Zwar muss man dafür die 10 britische Pfund pro Monat für den VIP-Zugang bezahlen, aber das ist es meiner Meinung nach wert! Jeder der Maschinen hat einen Namen und einen Schwierigkeitsgrad. Das Ziel dabei ist zwei Flags zu finden: die user-Flag und die root-Flag.

HTB Maschinenübersicht

Um eine Maschine zu hacken, muss zuerst die Login-Challenge gelöst werden (dazu kommt ein eigene Beitrag), um einen HTB-Account anlegen zu können. Sobald ihr euren Account angelegt habt, kann unter Labs –> Access eine [USERNAME].ovpn-Datei heruntergeladen werden. Sobald diese in Kali mit openvpn [USERNAME].ovpn geöffnet wurde, ist man mit dem HTB-Netzwerk verbunden.

Anschließend sucht ihr euch eine Maschine aus, startet diese über den Play-Button und sucht nach der IP-Adresse neben dem Namen der Maschine. Teilweise sind Maschinen bereits von anderen Nutzern aktiviert, dann kann man statt die Maschine zu starten ‚transfer ownership‘ nutzen. Mit ping -c 1 [IP-ADRESSE] kann man testen, ob die Verbindung zur VM funktioniert.

Die ersten HTB-Maschinen

Ich persönlich hatte wenig Ahnung über Pentesting oder Hacking als ich die ersten HTB-Maschinen ausprobiert habe. Also musste ich gute Lösungen suchen, welche nicht nur den direkten Weg zur root.txt aufzeigten, sondern auch die Herangehensweise und auch mal falsche Vorgehensweisen erläutert. Dafür sind die Videos von ippsec auf Youtube perfekt. Sofern ihr Englisch beherrscht, sind seine Erklärungen gerade zu Beginn Gold wert!

Zusammenfassung

HTB ist meiner Meinung nach sowohl für Beginner als auch für Fortgeschrittene eine sehr gut Ressource und auch der VIP-Pass ist es wert! Neben den Maschinen bietet HTB auch Challenges und komplexe Labs, welche ganze verwundbare Netzwerke aufspannen. Einer der Konkurrenten von HTB ist TryHackMe. Auch das werde ich mal ausprobieren und berichten.

Kategorien: GrundlagenHacking

2 Kommentare

Überblick Pentesting – Maxanit Consulting · September 4, 2020 um 9:07 pm

[…] HackTheBox […]

OSCP und PWK – Maxanit Consulting · September 4, 2020 um 9:07 pm

[…] 30-Tage-Verlängerung für die ‚Lab-Time‘ des PWK. Der Vorteil der retired Boxes auf hackthebox.com (HTB) ist, dass für diese Lösungen gepostet werden dürfen, sodass man als Anfänger nicht […]

Schreibe einen Kommentar zu Überblick Pentesting – Maxanit Consulting Antworten abbrechen

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.