TLDR
- Metasploitable3 è utile perché è vulnerabile per progetto: serve per imparare, non per simulare fedelmente ogni rete reale.
- Metasploit va trattato come framework di verifica e documentazione, non come distributore automatico di shell.
- Prima di Hack The Box avanzato, una palestra locale insegna snapshot, rete isolata, enumerazione ripetibile e report.
- La lezione vera è distinguere laboratorio, CTF, bug bounty, pentest autorizzato e abuso.
La macchina vulnerabile è un maestro antipatico
Una macchina vulnerabile fatta bene non ti coccola.
Ti punisce.
Ti lascia porte aperte, servizi strani, versioni sospette, configurazioni pessime, credenziali deboli e percorsi che sembrano ovvi solo dopo che li hai capiti.
Metasploitable3 vive in questo spazio: è un bersaglio costruito per essere rotto in laboratorio. Hacker Journal gli ha dedicato un filone lungo perché funziona come palestra narrativa: prendi una VM, la osservi, la interroghi, sbagli, ripeti, arrivi da qualche parte.
Il punto non è "fare exploit".
Il punto è imparare a vedere.
Perché una palestra locale serve ancora
Hack The Box è fantastico perché ti dà varietà, ritmo, community e scenari sempre nuovi. Ma una piattaforma online non sostituisce il laboratorio locale.
Una VM vulnerabile sul tuo computer ti insegna cose meno appariscenti:
- come isolare reti;
- come fare snapshot;
- come ripetere un test;
- come rompere senza perdere l'ambiente;
- come salvare output;
- come confrontare prima e dopo;
- come capire cosa cambia quando modifichi un servizio;
- come documentare senza rincorrere la flag.
Il laboratorio locale è lento nel modo giusto.
Ti obbliga a costruire l'arena prima del combattimento.
Metasploit non è il protagonista
Metasploit Framework è potente, modulare e comodo. La documentazione ufficiale lo presenta come punto di partenza rapido, e su Kali è già presente.
Ma in una palestra seria Metasploit non entra in scena per primo.
Prima c'è l'inventario.
Quali servizi?
Quali versioni?
Quali porte?
Quali banner?
Quali credenziali note?
Quali superfici web?
Quali protocolli legacy?
Quali indizi tornano in più punti?
Solo dopo ha senso chiedersi se un modulo Metasploit può verificare un'ipotesi.
Usato così, Metasploit diventa un microscopio.
Usato prima, diventa una slot machine.
La differenza tra modulo e metodo
Un modulo può dirti che una strada è percorribile.
Non ti spiega automaticamente perché.
Il metodo invece ti costringe a scrivere:
- precondizioni;
- target;
- versione;
- configurazione;
- rischio;
- effetto atteso;
- effetto osservato;
- evidenza;
- rimedio.
Questa è la parte che resta quando cambi tool.
Oggi Metasploit.
Domani Nuclei.
Dopodomani un exploit scritto a mano.
Poi un controllo difensivo su log e patch.
Se sai ragionare, il tool cambia e tu resti in piedi.
La rete del laboratorio
La palestra deve stare in una rete sua.
Non nella stessa rete dove hai NAS, stampante, smart TV, router di casa, laptop di lavoro e telefono.
Una buona topologia minima:
- Kali o altra macchina attaccante;
- target vulnerabile;
- rete host-only o NAT controllato;
- snapshot pulito per entrambe;
- niente condivisioni host inutili;
- DNS e traffico osservabili;
- documentazione delle IP assegnate;
- reset facile.
Sembra burocrazia.
È igiene.
Quando inizi a studiare exploit, password deboli, servizi vecchi e payload, l'igiene vale più dell'entusiasmo.
Prima di Hack The Box avanzato
Metasploitable3 ti allena su una cosa che HTB spesso dà per scontata: la pazienza dell'enumerazione.
Le macchine HTB più belle non si risolvono perché conosci un comando.
Si risolvono perché sai leggere contraddizioni.
Un servizio dice una cosa.
Una pagina web ne suggerisce un'altra.
Un utente compare in un path.
Un banner vecchio si collega a una CVE.
Una configurazione è fuori posto.
Un log racconta un'abitudine.
Se il tuo primo istinto è lanciare tutto, perdi dettagli.
Se il tuo primo istinto è prendere note, inizi a vedere.
CTF, bug bounty e pentest non sono la stessa stanza
Una confusione pericolosa è pensare che "so fare una macchina" significhi "posso testare qualunque cosa".
No.
CTF e lab sono ambienti costruiti per essere attaccati.
Hack The Box definisce target e regole.
Un bug bounty ha scope, limiti, policy e divieti.
Un pentest ha contratto, finestre operative, contatti, impatti accettabili e report.
Internet generico non è nessuna di queste cose.
Il tool non conosce il confine.
Tu sì.
La parte difensiva
Studiare Metasploitable3 con Metasploit non serve solo a fare red team.
Serve anche a capire cosa dovrebbe vedere un difensore:
- connessioni anomale;
- tentativi su servizi vecchi;
- autenticazioni fallite;
- processi nuovi;
- file temporanei;
- modifiche a utenti e permessi;
- traffico verso host inattesi;
- servizi che non dovrebbero esistere.
Se dopo un lab sai solo "ho ottenuto accesso", hai visto metà film.
La domanda successiva è:
come lo avrei rilevato?
È qui che una palestra offensiva diventa utile anche a chi difende.
Come non rovinarsi lo studio
Tre regole salvano settimane.
Prima: non guardare subito il write-up.
Usalo quando hai finito le ipotesi, non quando hai finito la pazienza.
Seconda: non cancellare gli errori dalle note.
Gli errori sono mappa. Raccontano dove il tuo modello mentale era sbagliato.
Terza: rifai la macchina dopo qualche giorno senza guardare appunti.
Se riesci a spiegare il percorso a voce, hai imparato.
Se riesci solo a ricordare una sequenza di comandi, hai memorizzato.
Sono due cose diverse.
Il punto
Metasploitable3 non è moderno perché imita perfettamente il 2026.
È moderno perché insegna ancora il gesto fondamentale: costruire un lab, osservare, formulare ipotesi, verificare, documentare e restare dentro i confini.
Metasploit non è la magia nera.
È un framework.
Hack The Box non è il mondo reale.
È una palestra enorme.
La competenza nasce quando smetti di confondere questi livelli.
E inizi a usarli nell'ordine giusto.
FAQ
Metasploitable3 è ancora utile nel 2026?
Sì, se lo usi per imparare metodo, enumerazione, lettura dei servizi e gestione del laboratorio. Non va trattato come fotografia aggiornata di una rete aziendale moderna.
Metasploitable3 è uguale a Hack The Box?
No. Metasploitable3 è una VM vulnerabile costruita per training locale; HTB offre macchine, challenge, Sherlocks, tracks e scenari online con difficoltà e obiettivi diversi.
Metasploit insegna davvero o rende pigri?
Dipende da come lo usi. Se lanci moduli a caso rende pigri. Se studi opzioni, precondizioni, check, output e report, insegna molto.
Posso seguire vecchi tutorial di Metasploit?
Sì, ma vanno aggiornati mentalmente: versioni, moduli, target e contesto cambiano. La parte valida è il metodo, non il comando copiato.
Qual è il confine etico?
Usare tool offensivi solo su ambienti propri o esplicitamente autorizzati. Una VM locale, HTB e CTF vanno bene; un IP trovato online no.