Hack The Box Logo
Hack The Box Logo
Posted inTutorial

Hack The Box impara l’hacking: guida per principianti

No Comments

Cos’è Hack The Box?

Hack The Box è una piattaforma di apprendimento gamificata dedicata alla sicurezza informatica offensiva (penetration testing). In pratica, offre un’ampia varietà di laboratori virtuali dove puoi cimentarti nell’hacking etico di macchine e applicazioni vulnerabili. Gli elementi chiave di Hack The Box includono:

  • Macchine (Boxes): Sono virtual machines con vulnerabilità intenzionali che devi scoprire e sfruttare per ottenere accesso (user) e privilegi amministrativi (root). Ogni box rispecchia scenari reali e presenta sfide di varia difficoltà (da Very Easy a Insane).

  • Sfide (Challenges): Piccoli esercizi focalizzati su specifici ambiti (es. crittografia, web, reverse engineering) per migliorare abilità particolari.

  • Gamification: Ogni macchina o sfida risolta ti assegna punti e badge. Accumulando punti sali di rank (Noob, Script Kiddie, Hacker, Pro Hacker, Elite, Guru, Omniscient) e compari in una classifica globale. Questa componente di gioco mantiene alta la motivazione e rende il percorso di apprendimento divertente.

  • Community: HTB ha una community globale di appassionati. Puoi confrontarti nei forum, leggere write-up (soluzioni) scritti da altri utenti per capire diversi approcci, e persino collaborare in squadre per competizioni (CTF).

  • Formazione continua: La piattaforma viene aggiornata di frequente con nuove macchine ogni settimana e contenuti sempre freschi. Inoltre offre percorsi formativi paralleli come HTB Academy (corsi interattivi per apprendere teoria e pratica del pentesting).

In sintesi, Hack The Box è un ambiente dove imparare l’hacking etico in modo pratico. È pensato sia per principianti assoluti che vogliono capire come iniziare Hack The Box, sia per professionisti esperti che cercano sfide avanzate.

Come registrarsi a Hack The Box

Per iniziare a usare Hack The Box, il primo passo è creare un account. Fortunatamente, la registrazione è gratuita e relativamente semplice (un tempo era necessario risolvere una “invite challenge” per ottenere un codice invito, ma oggi l’accesso è più immediato per facilitare i nuovi utenti). Ecco come procedere:

  1. Visita la pagina di registrazione: Vai sul sito ufficiale di Hack The Box e clicca su Sign Up (Iscriviti). Puoi usare questo link di iscrizione affiliato per accedere direttamente alla pagina: Registrati a Hack The Box.

    Registrazione Hack The Box
    Registrazione Hack The Box

  2. Compila i tuoi dati: Inserisci un nome utente (nickname che sarà visibile alla community), un’email valida e imposta una password sicura. (Consiglio: scegli un nickname professionale o creativo, ti rappresenterà nelle classifiche e nei forum).

  3. Verifica l’email: Dopo aver inviato il form di registrazione, riceverai una mail di conferma. Clicca sul link di verifica per attivare il tuo account.

  4. Login e primo accesso: Torna su Hack The Box ed effettua il login con le credenziali scelte. Ti ritroverai davanti alla dashboard principale.

La registrazione tramite il link affiliato è utile perché supporta il nostro lavoro e potrebbe offrire benefici futuri sulla piattaforma (ad esempio, alcuni programmi di referral regalano piccole ricompense o vantaggi agli iscritti).

Hack The Box
Hack The Box

La dashboard e l’interfaccia di Hack The Box

Una volta loggato, avrai accesso alla dashboard di Hack The Box. L’interfaccia può sembrare ricca di funzionalità, ma orientarsi è semplice con un po’ di pratica. Vediamo gli elementi principali:

  • Menu laterale: Sul lato sinistro trovi il menu di navigazione. Le sezioni chiave per un principiante sono:

    • Starting Point: un percorso guidato di macchine per iniziare (ne parleremo a breve in dettaglio).

    • Machines: l’elenco delle macchine active (attive) su cui puoi lavorare. Le active machines danno punti e rank quando risolte.

    • Challenges: raccolta di sfide divise per categoria (utile per esercitarsi su skill specifiche).

    • Endgames/Fortresses/ProLabs: sezioni avanzate (sbloccabili con rank più alti, quindi da tenere a mente per il futuro).

    • Academy: link alla HTB Academy, la piattaforma di learning con percorsi teorico-pratici (consigliatissima per consolidare le basi).

  • Dashboard principale: Al centro della pagina iniziale trovi un riepilogo del tuo profilo:

    • Avatar e Rank: il tuo grado attuale (es. Noob inizialmente) con una barra percentuale di completamento. Tutti partono come Noob e, risolvendo macchine e sfide, si può salire fino a Guru e oltre.

    • Punteggio e statistiche: quanti punti hai accumulato, quante macchine e sfide hai risolto, ecc.

    • Attività recente: una sezione con aggiornamenti su nuove macchine disponibili, annunci o progressi dei membri seguiti.

  • Connection Panel (VPN/Pwnbox): In alto a destra (icona a forma di segnale o nella sezione Connection) c’è il pannello per connettersi alle macchine. Hack The Box, infatti, richiede che tu sia collegato alla sua rete privata (VPN) per interagire con le macchine virtuali. Hai due opzioni:

    • OpenVPN: metodo classico e gratuito. Scarichi un file .ovpn fornito da HTB e lo usi per connetterti tramite un client OpenVPN dal tuo PC (di solito su Kali Linux o un’altra distro che usi per fare pentesting).

    • Pwnbox: una macchina Kali Linux preconfigurata accessibile direttamente dal browser. È comodissima perché evita di dover installare VM locali, ma nota bene: la versione gratuita ha un monte ore limitato di utilizzo mensile e qualche limitazione; l’accesso illimitato al Pwnbox è riservato agli utenti VIP (a pagamento). All’inizio puoi comunque sfruttare le ore gratuite di Pwnbox per provare rapidamente la piattaforma.

  • Labs e spazi di gioco: Sulla dashboard vedrai anche sezioni per entrare nei laboratori, come il Starting Point o altre track (percorsi tematici). Cliccando su uno di questi inizierai l’esperienza di hacking vera e propria.

Prenditi un po’ di tempo per esplorare l’interfaccia e familiarizzare con i menu. Sapere dove trovare le sezioni ti aiuterà a muoverti con sicurezza man mano che progredisci.

Starting Point: il percorso guidato per principianti

Se sei agli inizi nel mondo del pentesting, Starting Point sarà il tuo miglior amico su Hack The Box. Si tratta di un percorso guidato, organizzato a tappe, pensato espressamente per principianti assoluti. Ecco perché dovresti iniziare da qui:

  • Approccio graduale: Starting Point offre una serie di macchine con difficoltà Molto Facile (Very Easy). Le prime macchine ti insegnano proprio le basi: ad esempio come fare una scansione di porte, come connettersi a un servizio, come trovare e leggere una flag.

  • Struttura lineare: A differenza delle altre macchine di Hack The Box dove sei libero di scegliere, qui c’è un ordine consigliato. Ogni macchina Starting Point sblocca la successiva, permettendoti di progredire passo passo. Questo elimina l’imbarazzo della scelta iniziale e ti fornisce una curva di apprendimento ben calibrata.

  • Task e suggerimenti integrati: Su ogni macchina Starting Point troverai una serie di task (domande) a cui rispondere. Questi task sono come piccoli indizi o micro-sfide che ti guidano nella soluzione. Ad esempio potrebbero chiederti “Qual è l’acronimo di VM?” o “Quale servizio è in ascolto sulla porta 23/tcp?”. Rispondendo correttamente a ogni domanda, avanzi fino all’ultimo step in cui devi inserire la flag finale (una stringa alfanumerica che prova che hai pwnato la macchina).

  • Write-up ufficiali: Per ogni macchina Starting Point esiste una spiegazione ufficiale passo-passo che viene sbloccata dopo che l’hai completata. Questo è utilissimo: se rimani bloccato o vuoi verificare se c’erano altri metodi, puoi studiare la soluzione fornita dallo staff Hack The Box.

In pratica, Starting Point è come un tutorial interattivo: ti prende per mano e ti insegna le basi dell’hacking su HTB. Anche se non hai mai compromesso una macchina in vita tua, qui avrai tutto il supporto necessario.

Le prime macchine di Starting Point Tier 0 includono nomi come Meow, Fawn, Dancing, Redeemer, ecc. Il consiglio è di cominciare da Meow, la primissima box, e seguire l’ordine proposto.

Meow
Meow

Esempio pratico: la tua prima box (Meow)

Per darti un’idea concreta di come funziona Hack The Box, descriviamo brevemente l’esperienza sulla box “Meow”, la prima macchina Starting Point:

Scenario: Meow è una macchina Linux molto semplice. L’obiettivo finale è trovare la flag di root (tipicamente un file flag.txt). Per arrivarci, dovrai esplorare i servizi aperti e vedere come ottenere accesso.

Passo 1 – Connessione VPN: Prima di tutto, scarica dal sito HTB il file di configurazione VPN per Starting Point (trovi il pulsante Connect o Download VPN sulla pagina di Meow). Avvia la connessione VPN sul tuo sistema con un comando del tipo:

sudo openvpn starting_point.ovpn

Una volta connesso (vedrai un messaggio “Initialization Sequence Completed” nel terminale), il tuo PC è nella stessa rete della macchina target.

(In alternativa, puoi usare il Pwnbox: dalla dashboard clicchi su “Start Pwnbox”, attendi l’avvio della VM nel browser e sarai pronto a lanciare comandi senza configurazioni aggiuntive.)

Passo 2 – Spawn della macchina: Torna sulla pagina di Meow e clicca Spawn Machine. Dopo qualche istante, Hack The Box ti mostrerà l’IP della macchina Meow (es. qualcosa come 10.129.x.x). Questo è l’indirizzo che dovrai attaccare.

Passo 3 – Risoluzione dei task: Meow ti propone una serie di task guida. Ad esempio:

  • Task: “What does the acronym VM stand for?” – devi rispondere Virtual Machine.

  • Task: “What tool do we use to test our connection to the target with an ICMP echo request?” – suggerimento: un comando per verificare raggiungibilità di rete. Risposta: ping.

  • Task: “Qual è il nome dello strumento più comune per trovare porte aperte su un target?” – qui entra in gioco nmap, lo strumento di port scanning più famoso.

Man mano che rispondi, i task ti portano alla scoperta del servizio vulnerabile. Nel caso di Meow, una scansione con nmap rivelerà che la porta 23/tcp è aperta ed è in ascolto un servizio Telnet (un protocollo di accesso remoto vecchio e insicuro). Questo è un indizio chiave.

Passo 4 – Sfruttamento della vulnerabilità: Telnet aperto su porta 23 spesso indica che potresti connetterti senza crittografia. Proviamo quindi a usare Telnet per accedere:

telnet 10.129.x.x

Ti verrà chiesto un login. Il task precedente avrà suggerito di provare con l’utente root (spesso sulle macchine di test l’account root ha password vuota). Inserisci root come username e premi Invio lasciando la password vuota. Sorprendentemente, si apre una shell sulla macchina bersaglio!

Ora sei “dentro” Meow come utente root. Se elenchi i file (ls), vedrai un file chiamato flag.txt. Visualizzane il contenuto con cat flag.txt – otterrai una stringa tipo HTB{...}. Quella è la flag.

Passo 5 – Consegna della flag: Copia la flag e incollala nell’ultimo task sulla pagina di Meow. Una volta inviata, Hack The Box ti congratulerà con il messaggio “Meow owned!” o “Machine pwned!”. Complimenti, hai risolto la tua prima box su HTB!

Questo esempio pratico dimostra come Hack The Box unisca teoria (nei task guidati) e pratica (esecuzione di comandi reali) per farti apprendere. In pochi step hai imparato a:

  • Configurare un VPN per il lab.

  • Lanciare un port scan con nmap.

  • Identificare un servizio in esecuzione (Telnet).

  • Sfruttare credenziali di default per accedere a un sistema.

  • Trovare ed usare una flag come prova di accesso.

accesso a Meow
accesso a Meow

Consigli finali per i principianti

Ora che hai mosso i primi passi, ecco alcuni consigli utili per continuare la tua avventura su Hack The Box:

  • Continua con Starting Point: Completa tutte le macchine del percorso Starting Point. Ognuna introdurrà concetti leggermente più avanzati (ad esempio enumerazione di servizi FTP, exploitation di web server basilari, ecc.), preparando il terreno per le macchine active più difficili.

  • Documentati e prendi appunti: Mentre risolvi le box, tieni un blocco note o un file dove segni i comandi usati e le scoperte fatte. Questo diventerà il tuo personale pentesting cheat-sheet e ti aiuterà a ricordare i passaggi chiave.

  • Usa HTB Academy in parallelo: Se incontri termini o tecniche che non conosci, la HTB Academy (anche in versione gratuita con moduli base) è una risorsa fantastica. Ad esempio, c’è un modulo introduttivo su Linux, uno su networking, uno su strumenti come nmap. Alternare pratica sulle box e teoria sui moduli Academy accelera l’apprendimento.

  • Non arrenderti alle prime difficoltà: È normale bloccarsi su una macchina o non sapere da dove iniziare. La community HTB è lì apposta: cerca sul forum suggerimenti (senza incappare in spoiler) oppure concediti una pausa e studia materiale esterno. La perseveranza è fondamentale nel pentesting.

  • Rispetta le regole e l’etica: Hack The Box è un ambiente controllato – attacca solo le macchine sulla VPN HTB e mai sistemi al di fuori. Inoltre, quando discuti nei forum o cerchi aiuto, evita di condividere soluzioni complete (no spoiler), per non rovinare l’esperienza ad altri. Mantieni un approccio etico: l’obiettivo è imparare e migliorarsi.

  • Aggiorna le tue competenze gradualmente: Dopo Starting Point, potrai affrontare le active machines. Inizia da quelle classificate come Easy e leggi i suggerimenti iniziali (spesso nella descrizione della macchina c’è un contesto o un hint). Se decidi di passare a un abbonamento VIP, avrai accesso anche alle retired machines (macchine vecchie, complete di soluzioni ufficiali e write-up utente) che sono ottime per allenarsi ulteriormente con l’aiuto delle spiegazioni.

  • Coltiva la passione: Pentesting è un campo vasto. Ogni box risolta è una vittoria personale e un pezzo di conoscenza in più. Celebrale, condividi (senza spoilerare) i traguardi con amici o colleghi appassionati. Mantieni la curiosità accesa: chiederti sempre “come funziona questo servizio?” o “perché quell’exploit ha successo?” ti trasformerà pian piano da principiante a esperto.

Ricorda, Hack The Box è una palestra di hacking: più ti alleni, più diventi forte. All’inizio potrà sembrarti complesso, ma con ogni sfida superata acquisirai confidenza. La chiave è imparare facendo e divertirsi lungo il percorso.

Conclusione: pronto a iniziare la tua avventura su Hack The Box?

Hack The Box è il luogo ideale per chi vuole passare dalla teoria alla pratica nella cybersecurity. Abbiamo visto cos’è, come funziona e come iniziare su questa piattaforma con questa guida per principianti Hack The Box. Ora tocca a te: metti alla prova ciò che hai imparato, esplora le macchine e non smettere mai di curiosare. Ogni comando che esegui, ogni vulnerabilità che scopri, ti avvicina al livello successivo nelle tue competenze da pentester.

Se sei pronto a tuffarti in questo mondo, iscriviti subito su Hack The Box e inizia la tua prima hack-avventura. Puoi usare il nostro link affiliato per registrarti: Registrati a Hack The Box. Inizia oggi stesso con Hack The Box e libera il tuo potenziale da hacker etico!

Happy hacking!

se il contenuto ti è piaciuto supporta DeafSuite!

Comments

No comments yet. Why don’t you start the discussion?

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *