如果系统是私有的并且您不使用任何其他基础设施或服务来执行您的测试，那么您可能不会违反任何法规。

然而：

• 如果您通过 ISP 进行攻击 - 首先获得他们的同意，因为他们可以将您的行为视为攻击并将信息传递给执法部门
• 如果服务器上的数据可能受到数据保护法规的约束，那么您需要研究将这些数据作为攻击的一部分最终出现在您的计算机上的影响。
• 正如@espengra 所说 - 获得书面批准，以防您破坏某些东西并且您的朋友决定将您告上法庭！

这构成了相当常规的渗透测试，如果受害系统的合法所有者（您的朋友）允许您执行此测试，则确实是合法的。确保在你们两个之间的书面合同中声明了整个测试范围，以确保他以后是否应该改变主意。

范围将包括所涉及的物理设备以及目标软件。

你为什么不直接打开一些虚拟服务器来玩..或者找一些易受攻击的iso来玩（metasploitable想到了一个）

您始终可以对物理系统进行 p2v，以便将其作为虚拟机。这样您就可以进行备份和还原点等。

否则，如上述帖子所述，获得书面协议，并确保您的 ISP 允许（我很确定 Telstra 不喜欢它）

PS - 我也来自澳大利亚 :)

您应该查看http://www.pentest-standard.org/index.php/Pre-engagement以了解您的所有范围和协议内容