- Сообщения
- 1.026
- Реакции
- 1.534
Привет. Сегодня не про защиту. Сегодня — про память. Про платформу, которую я считал лучшей для отработки Active Directory, и про то, как она ушла из жизни.
Даже не знаю, с чего начать. Наверное, с того, что VulnLab официально закрылся в марте 2026 года. Причина банальна — создатель и владелец Мартин Мильке (он же xct) продал платформу ребятам из Hack The Box, потому что спрос на его уникальную платформу был настолько велик, что нужно было масштабироваться, а в одиночку это сделать невозможно. Теперь весь контент VulnLab переехал на HTB и доступен там.
Но VulnLab не просто лаборатория. Это было что-то особенное. И сегодня я расскажу, почему его так любили, чем он отличался от всех остальных, и где теперь искать то же самое.
Мартин Мильке — входит в топ-10 игроков на Hack The Box. Человек, который делал контент не ради галочки, а чтобы реально учить. И это чувствовалось в каждом стенде.
Что было внутри:
Что сейчас: Все VulnLab контенты переехали на Hack The Box, и если у вас есть подписка на HTB, вы можете играть те же самые цепи.
Но дух VulnLab, наверное, уже не вернуть. Но его подход к обучению можно и нужно взять на вооружение.
Это геймифицированная платформа с кучей guided-румов. Тебя ведут за ручку, показывают, где копать, и дают готовые ответы. Идеально для полных нулей, которые даже терминал боятся открыть.
Минус: лёгкая. Ты проходишь комнату, радуешься, а потом приходишь на реальный пентест и понимаешь, что там никто не даст тебе подсказку и не скажет, где лежит флаг.
Огромная библиотека машин. Тычишься в них, пытаешься зайти. Но по-настоящему научиться AD можно только на их платных цепочках (вроде CPTS) или на бывшем VulnLab контенте.
Минус: куча дерьмовых машин со стего и идиотскими головоломками, которые на реальном пентесте не встретишь.
Минус: только веб. Сети там нет.
Никакой стего, никакой магии. Только реальные недоконфиги, которые вы найдёте в любой конторке, куда зайдёте на пентест. При этом ты должен быть готов разбираться с Veeam, Bitwarden, ESXi и понимать, как латерально двигаться в сетях без готовых подсказок.
Цепочки машин — 2–3 стенда, которые нужно проходить последовательно, пробиваясь от веб-сервера до контроллера домена.
Условие: в тебе настоящий противник в корпоративной сети. Вокруг тебя Bitwarden (менеджер паролей), Kasm Workspaces (контейнеры), ESXi (гипервизор), Active Directory с кучей пользователей и серверов.
Никто не говорит: «Атакуй уязвимость на 8080 порту». Ты сам ищешь, где пароли не зашифрованы, где в конфигах лежат учётки, где можно перехватить хеш.
За 4 дня этого безумия я научился:
Да, теперь есть официальная интеграция VulnLab и HTB. Весь контент Мартина переехал на платформу.
Но хайп вокруг VulnLab был уникальным. Сообщество, юмор, крепкие авторы, которые сами помогали решать стенды. Я такого больше нигде не видел.
Если вы хотите прокачать свои навыки в Active Directory и сетевом пентесте, берите подписку на HTB и проходите то, что осталось от VulnLab. Не пожалеете.
Новичкам: берите TryHackMe. Проходите введение, пока не научитесь работать с терминалом и понимать, что такое порт.
Уверенным: берите PortSwigger Academy, оттачивайте веб до автоматизма. И параллельно — Hack The Box с упором на AD-цепи (они там очень неплохие).
Хардкорщикам: подписка на HTB + старые гайды VulnLab на YouTube — ваша библия.
Изучайте отчёты реальных пентестов. Смотрите, где люди находят уязвимости. Симулируйте атаки на свои домашние лабы.
VulnLab научил меня одному важному правилу: стего и криптография — для CTF, для пентеста нужна крепкая логика и понимание миссконфигов. Спи спокойно, великий Мартин Мильке. Твоё дело продолжает жить в памяти и на серверах HTB.
с уважением, Ваш— CyberSec RuTOR
Даже не знаю, с чего начать. Наверное, с того, что VulnLab официально закрылся в марте 2026 года. Причина банальна — создатель и владелец Мартин Мильке (он же xct) продал платформу ребятам из Hack The Box, потому что спрос на его уникальную платформу был настолько велик, что нужно было масштабироваться, а в одиночку это сделать невозможно. Теперь весь контент VulnLab переехал на HTB и доступен там.
Но VulnLab не просто лаборатория. Это было что-то особенное. И сегодня я расскажу, почему его так любили, чем он отличался от всех остальных, и где теперь искать то же самое.
1. Что такое VulnLab и почему о нём до сих пор говорят
VulnLab — это не очередная «потыкай ножом и получи флаг». Это платформа, которая создавалась практикующим пентестером, который сам ходит по сетям и знает, что реально нужно в поле.Мартин Мильке — входит в топ-10 игроков на Hack The Box. Человек, который делал контент не ради галочки, а чтобы реально учить. И это чувствовалось в каждом стенде.
Что было внутри:
- Около 120 уязвимых машин и целых AD-сетей, от простых стендов до многолесных корпоративных сетей с современными средствами защиты.
- Реалистичные сценарии. Никаких стего, шифров или надуманных усложнений. Только то, с чем вы столкнетесь на реальном пентесте.
- Красные команды (Red Team Labs), где вас сажали в роль настоящего противника в корпоративной среде с ESXi, Bitwarden и Kasm Workspaces.
- Проходы машин в сложные AD-сети, где нужно атаковать через несколько доменов и лесов.
- Советы в стиле «врежься как в реальной работе», а не бесконечные стеганографии.
- Активное сообщество в Discord, где вам помогали авторы и участники.
2. Почему VulnLab закрылся?
Успех оказался фатальным. Спрос на VulnLab был бешеный, и Мартин понял, что ему нужны ресурсы, чтобы поддерживать и масштабировать платформу. И он продал детище в HTB.Что сейчас: Все VulnLab контенты переехали на Hack The Box, и если у вас есть подписка на HTB, вы можете играть те же самые цепи.
Но дух VulnLab, наверное, уже не вернуть. Но его подход к обучению можно и нужно взять на вооружение.
3. Почему VulnLab был легендой (и чем он отличался от конкурентов)
У меня была подписка на все четыре сервиса: TryHackMe, Hack The Box, PortSwigger Academy и VulnLab. И вот как я их различаю.TryHackMe (THM)
Чувак, который в школе ставил «отлично» за то, что ты просто пришёл.Это геймифицированная платформа с кучей guided-румов. Тебя ведут за ручку, показывают, где копать, и дают готовые ответы. Идеально для полных нулей, которые даже терминал боятся открыть.
Минус: лёгкая. Ты проходишь комнату, радуешься, а потом приходишь на реальный пентест и понимаешь, что там никто не даст тебе подсказку и не скажет, где лежит флаг.
Hack The Box (HTB)
Чувак, которому нравится смотреть, как ты мучаешься.Огромная библиотека машин. Тычишься в них, пытаешься зайти. Но по-настоящему научиться AD можно только на их платных цепочках (вроде CPTS) или на бывшем VulnLab контенте.
Минус: куча дерьмовых машин со стего и идиотскими головоломками, которые на реальном пентесте не встретишь.
PortSwigger Web Security Academy
Узкая специализация — веб. Это бесценный ресурс для баг-хантеров и тех, кто разбирает веб-приложения.Минус: только веб. Сети там нет.
VulnLab
Чувак, который уже работает в IT-департаменте и показывает тебе, где реально лежат уязвимости.Никакой стего, никакой магии. Только реальные недоконфиги, которые вы найдёте в любой конторке, куда зайдёте на пентест. При этом ты должен быть готов разбираться с Veeam, Bitwarden, ESXi и понимать, как латерально двигаться в сетях без готовых подсказок.
Цепочки машин — 2–3 стенда, которые нужно проходить последовательно, пробиваясь от веб-сервера до контроллера домена.
4. Мой опыт: как я проходил «Wutai»
Я решил попробовать Red Team Lab «Wutai». Уровень сложности — средний.Условие: в тебе настоящий противник в корпоративной сети. Вокруг тебя Bitwarden (менеджер паролей), Kasm Workspaces (контейнеры), ESXi (гипервизор), Active Directory с кучей пользователей и серверов.
Никто не говорит: «Атакуй уязвимость на 8080 порту». Ты сам ищешь, где пароли не зашифрованы, где в конфигах лежат учётки, где можно перехватить хеш.
За 4 дня этого безумия я научился:
- Латеральному движению через разные домены.
- Атакам на ADCS (сертификаты) и миссконфигам в Bitwarden.
- Продвинутым релейкам и грязным хакам в AD, которые реально работают.
5. Что же происходит сейчас?
VulnLab мёртв. Да здравствует Hack The Box!Да, теперь есть официальная интеграция VulnLab и HTB. Весь контент Мартина переехал на платформу.
Но хайп вокруг VulnLab был уникальным. Сообщество, юмор, крепкие авторы, которые сами помогали решать стенды. Я такого больше нигде не видел.
Если вы хотите прокачать свои навыки в Active Directory и сетевом пентесте, берите подписку на HTB и проходите то, что осталось от VulnLab. Не пожалеете.
6. Резюме и чек-лист: на чём учиться сейчас
Хотя VulnLab ушёл, его подход к обучению жив. Вот что я бы посоветовал.Новичкам: берите TryHackMe. Проходите введение, пока не научитесь работать с терминалом и понимать, что такое порт.
Уверенным: берите PortSwigger Academy, оттачивайте веб до автоматизма. И параллельно — Hack The Box с упором на AD-цепи (они там очень неплохие).
Хардкорщикам: подписка на HTB + старые гайды VulnLab на YouTube — ваша библия.
Изучайте отчёты реальных пентестов. Смотрите, где люди находят уязвимости. Симулируйте атаки на свои домашние лабы.
VulnLab научил меня одному важному правилу: стего и криптография — для CTF, для пентеста нужна крепкая логика и понимание миссконфигов. Спи спокойно, великий Мартин Мильке. Твоё дело продолжает жить в памяти и на серверах HTB.
с уважением, Ваш— CyberSec RuTOR
