結論としては課金推奨という感想.
2020年7月に登録し,2020年12月から2021年9月までVIP+で課金してきたので,感想をまとめておく.現在の攻略台数は82台.Easyマシンを全て攻略した段階での感想となる.
Hack The Boxの課金体系
Hack The BoxのプランにはFree,VIP,VIP+の3つのプランがある.
Free | VIP | VIP+ | |
---|---|---|---|
Isolated VIP Servers | ✓ | ✓ | |
Retired Machines & Challenges | ✓ | ✓ | |
Official Write-Ups for Retired Machines and Retired Endgames |
✓ | ✓ | |
Separate Rankings | ✓ | ✓ | |
Unlimited Machine Resets | ✓ | ✓ | |
Personal Instances | ✓ | ||
Pwnbox | 2hrs(Monthly) | 24hrs(Monthly) | Unlimited |
Price(£) | £10/month £100/annually |
£15/month £150/annually |
|
Price(円) 1£=149.62円 |
1,496円/月 14,962円/年 |
2,244円/月 22,446円/年 |
(2021/09/23時点)
[出典]
What Subscriptions Do You Offer and How Much Do They Cost?
https://app.hackthebox.eu/vip(要ログイン)
VIP/VIP+登録のメリット
各項目について,それぞれ個人の観点で評価していく.
Isolated VIP Servers
Freeではサーバーが共有のため,1つのマシンに対して複数人が同時に攻略する形になる.共有のデメリットとして感じたのは以下.
- /tmpなどにlinpeas.shやツールが置いたまま,ひどいときはExploitも置いてあることがある.
- logを見ると攻撃の痕跡がいろいろ残っているので,ヒントになってしまったりする.
- 稀にマシンが壊れてたりもする.ユーザー投票によりリセット可.
- 周りに配慮するとマシンを雑に扱えない.勉強のためにいろいろ試行するのに周りにちょっと申し訳ない.
VIP/VIP+には専用サーバーが用意されている.現在確認できるサーバー台数は以下の通り.なお,EUとUSのVIPサーバーは27台も用意されており,多くが同時接続1桁台なので実質Personal Instanceのような使い方ができる気がしている.
Free | VIP | VIP+ | |
---|---|---|---|
EU | 3 | 27 | 2 |
US | 3 | 27 | 1 |
AU | 1 | 1 | |
SG | 1 | 2 |
Retired Machines & Challenges
MachineとChallengeはActiveとRetiredに分かれている.おおよその違いは以下.
Active | Retired | |
---|---|---|
スコア加算 | ✓ | |
公式Writeup | ✓ | |
Writeupの公開 | ✓ |
Writeupが豊富で想定解や他の手法について学ぶことができるため,個人的にはRetiredの方が勉強に適していると感じている.ただし,製品名で検索するとCVE!Writeup!Walkthrough!Hack The Box!みたいな検索結果が出ることがあり,「ああ,これが正解なんだなぁ…」と分かってしまうこともある.
Retiredで力をつけてActiveで腕試しというのがやはり正攻法なのかもしれない.
Official Write-Ups for Retired Machines and Retired Endgames
公式Writeupについては「Retired Machines & Challenges」の項を参照.Endgameについてはプレイしたことがないので割愛.
Separate Rankings
ランキングあまり見ないので,これはそれほど魅力を感じてない.
Unlimited Machine Resets
Freeにリセット回数の制限があることを今知った.そんな大量にリセットを掛ける機会はないと思うので,これもそれほど魅力を感じてない.
Personal Instances
「Isolated VIP Servers」の項も参照.要は他人に遠慮することなく遊べるので,かなり魅力に感じている.また,Exploitが刺さらない時も他人の影響がないため,できないときは自分のせいという安心感(?)がある.
Pwnbox
個人的に課金する最も大きな要素.Parrot OSベースの攻撃用仮想環境で,sshとブラウザでアクセスできる.メリットとして感じている点は以下.
- sshとブラウザなのでアクセスが簡単
- 起動時間,通信遅延が気にならない
- VIP+は時間無制限で起動できる
- 大抵のツールがインストール済み
- マシンと同じ地域に配置すると,nmapやffufなどが超高速
- 環境を荒らしてもいつでも初期化されてきれいな環境を使える
- hashcatやjohnを心置きなく回せる(やりすぎると怒られるかも?)
- GitHubに転がっているような怪しいツールを心置きなく試せる
なお,起動時間は以下の設定で65秒となった.
- PWNBOX LOCATION:United States
- VPN ACCESS:US-VIP+
- VPN SERVER:US VIP+ 1
sshとブラウザともに遅延はあまり感じたこともないため,作業環境としては十分使える.IPアドレス的にDigitalOceanを使ってるっぽい…?
公式の説明や0xdfさんのレビューも参考になる.
総評
Retiredで勉強したいならVIP,pwnboxで攻撃用仮想環境を使いたいならVIP+に課金するべきだと感じている.
なお,Try Hack Meにもpremiumがあるので,課金前に比較を行うべきかもしれない.自分はTHMを試す前にHTBに課金したのでずっとHTBをやってるが,周りの話を聞くとTHMの方がヒントが多く段階的なので勉強に向いてるという話も聞く.