Good Old Days...
Wmware Workstation kendi bilgisayarına kurup kullanabilirsin.
Onun yerine mesela atak yapacağın günler günlük VPS alabilrisin.
Hack için açtığın serverlarda anlaşıldığı durumlarda genelde kapatılır ve hizmet iadesi alamazsın.
Başlangıç için BF öneririm.
BruteForce öğrendikten sonra Wordpress ya da sistemlere nasıl Shell atılıri ana dizine nasıl girilir bunu öğrenebilirsin.
Shell attıktan sonra doğrudan index atma. Bir kaç tane daha shell at belki tek site içinde 10 site vardır Server patlatırsın
Hackledikten sonra index.php - index.html .httacces dışındaki dosyaları silmeyi unutma
Bruteforce'dan sonra SQL'e dönebilirsin.
HEXCODE - SQLİnjection ile shell atma - Veri çekme gibi olaylara dalış yaparsan güzel olur
Son kısımlara doğru Exploit yazmak ve Nmap portlarından sızmayı öğrenirsen şahane olur
NOT: Bilmiyorsan diye "kendimce" yol haritası gösterdim bu işte çok iyi değilim ama bir zamanlar çok uğraştım
Edit: 1000+ fazla site vurmuşumdur. Kullandığım yöntemlerin bir kaç tanesi yukarıda yazıyor