Vulnhub是一系列易受攻击的发行版以及社区贡献的演练。

exploit-exercises.com提供各种虚拟机、文档和挑战，可用于了解各种计算机安全问题，例如权限提升、漏洞分析、漏洞利用开发、调试、逆向工程和一般网络安全问题。

PentesterLab有一些有趣的练习，其中一些是关于漏洞利用开发的。

RebootUser有一个实验室，其中包括 Vulnix - 一个易受攻击的 Linux 机器，VulVoIP - 一个相对较旧的 AsteriskNOW 发行版，有许多弱点，以及 VulnVPN - 一个虚拟机，您可以练习利用 VPN 服务来访问服务器和“内部' 服务。

BackTrack PenTesting Edition 实验室是一个一体化的渗透测试实验室环境，包括练习渗透测试所需的所有主机、网络基础设施、工具和目标。它包括：一个具有两个主机目标的 DMZ 网络、一个具有一个主机目标的“内部”网络和一个预配置的防火墙。

PwnOS是一个 Debian VM 的目标，您可以在其上练习渗透测试，以获取 root 为目标。

Holynix是一个 Linux vmware 映像，为了渗透测试的目的，故意构建了具有安全漏洞的安全漏洞。

Kioptrix VM针对初学者。

Scene One是一个经过测试的场景 liveCD，旨在带来一些乐趣和学习。

Sauron是一个带有许多易受攻击的 Web 服务的 Linux 系统。

LAMPSecurity培训旨在提供一系列易受攻击的虚拟机映像以及旨在教授 Linux、Apache、PHP 和 MySQL 安全性的补充文档。

OSCP、OSCE、SANS 660和HackinkDOJO是一些具有良好实践实验室的付费课程。

黑客挑战网站还可以提供难度、乐趣和令人上瘾的挑战。WeChall是一个在其他挑战网站上汇总分数的网站，它有一个针对具有漏洞的网站的类别。

CTF（夺旗）事件在您需要利用本地或远程软件时遇到挑战。大多数现场活动在CTFTime上可用，但有过去活动的存储库，并且一些 CTF 在现场活动之后仍然可用。

但是对于漏洞利用开发，我建议在您自己的计算机上安装易受攻击的应用程序，以便您轻松执行分析。应用程序不一定必须是服务器或在不同的计算机上运行。转到exploit-db并在那里找到旧的exploit，然后查找该版本 的易受攻击的软件并开始处理它。如果您需要提示，实际的漏洞利用可以为您指明正确的方向。

如果您对破解 Web 应用程序感兴趣，请查看OWASP Hackademic Challenges。这听起来有点与您的兴趣相切，但我想我会提到它以防万一。

您可以查看Rapid7的Metasploitable 1 和 2！

Web security dojo是一个基于 Ubuntu 的发行版，用于练习 Web 应用安全测试。它具有让初学者入门的所有必要工具和文档。