HTB im Überblick
HTB bietet mehrere Angebote unter einem Dach: einzelne Machines, geplante CTF-Events, Pro Labs (komplexe Netzwerk-Szenarien) und die HTB Academy mit didaktischen Modulen.
Im Vergleich zu TryHackMe liegt der Fokus weniger auf Hand-Holding und mehr auf Methodik. Du bekommst eine Box, du bekommst eine IP - der Weg dorthin gehört dir.
Starting Point als Einstieg
Der Starting Point ist der offizielle Einstieg. Drei Tiers führen von absoluten Grundlagen über typische Schwachstellen bis hin zu realistischen Box-Workflows. Wer ihn durch hat, hat eine solide Basis für Easy-Machines.
HTB Academy: modular und didaktisch
| Job-Role-Pfad | Ziel | Prüfung |
|---|---|---|
| Penetration Tester | Klassisches Pentesting | CPTS |
| Bug Bounty Hunter | Web Security & Bounty | CBBH |
| SOC Analyst | Detection / Defense | CDSA |
| Active Directory | AD-Angriffe & Defense | Spezialisierung |
Workflow für eine Box
Ein wiederholbarer Box-Workflow hilft, nicht im Chaos zu versinken:
- Enumeration: Ports, Services, Versionen, Web-Inhalte.
- Hypothesen: welche Angriffsvektoren passen zu dem, was du siehst?
- Verifikation: gezielt ausprobieren, dokumentieren.
- Foothold & Privilege Escalation: in zwei Phasen denken.
- Write-Up: Befehle, Schritte, Lessons Learned.
Typische Anfängerfehler
- Walkthroughs zu frueh öffnen, statt selbst zu probieren.
- Keine Notizen waehrend des Solves - alles wird neu erfunden.
- Nur Easy-Boxen jagen und nicht in Academy-Module investieren.
- Write-Ups zu aktiven Machines veröffentlichen (verstoesst gegen die Regeln).
Missverständnisse
- "HTB-Punkte = Job-Garantie" - nein, sie sind ein Signal, kein Beweis.
- "Pro Labs sind nur für Profis" - sie sind anspruchsvoll, aber lehrreich, wenn man die Grundlagen hat.
- "Free reicht für alles" - irgendwann blockiert das Modell ernsthaftes Lernen.
Praxisbezug
Legale Übung: Löse die ersten zwei Starting-Point-Tiers vollständig und schreibe zu jeder Maschine ein eigenes Write-Up in einem privaten Git-Repo. Achte besonders auf wiederkehrende Enumeration-Patterns.
Portfolio-Idee: Veröffentliche später Write-Ups zu retired Machines auf einem eigenen Blog oder GitHub - ohne Flags, aber mit Lessons Learned. Solche Repos werden in technischen Interviews gelesen.
Legal-Hinweis
HTB-Aktivitäten finden über die offizielle VPN-Verbindung in der HTB-Umgebung statt - dort sind sie erlaubt. Angriffe auf die HTB-Plattform selbst, fremde Konten oder Subdomains sind nicht abgedeckt und können rechtlich und vertraglich Konsequenzen haben.
Nächste Lernschritte
FAQ
Ist Hack The Box für Anfänger geeignet?
+
Bedingt. Wer komplett bei null startet, ist mit TryHackMe besser bedient. HTB lohnt sich, sobald du grundlegende Methodik hast und gezielter trainieren willst.
Was ist HTB Academy?
+
Eine modulare, themenbasierte Lernplattform - im Gegensatz zu den freien Machines deutlich strukturierter. Sie ist die Vorbereitung auf HTB-Zertifikate wie CPTS, CBBH oder CDSA.
Brauche ich eine VIP-Subscription?
+
Free reicht für einen ersten Eindruck. VIP / VIP+ lohnt sich, sobald du regelmäßig retired Machines mit offiziellen Write-Ups durcharbeitest oder mehrere Sessions parallel laufen lassen willst.
Wie wichtig sind Write-Ups?
+
Sehr wichtig. Eigene Write-Ups festigen das Gelernte und werden Teil deines Portfolios. Bei aktiven Machines dürfen sie nicht veröffentlicht werden, bei retired Machines schon - ohne Flags.
Wie verhält sich HTB zu OSCP?
+
OSCP und HTB-Methodik haben viele Überschneidungen. Wer regelmäßig HTB- oder Pro-Lab-Machines löst, ist methodisch deutlich besser auf OSCP vorbereitet als jemand, der nur Theorie liest.