Eu já estudei um pouco sobre hacking, e cheguei a seguinte conclusão:
Não é que eu não sei usar as ferramentas, eu só não sei o que fazer com o resultado das ferramentas.
Não adianta usar o nmap se a única coisa que ele acha é a porta 80, assim como não adianta usar um brute force na vida real.
Você tem que imaginar como o sistema funciona e procurar algum ponto fraco, fazer uma engenharia reversa, e nenhuma ferramenta vai fazer isso melhor do que você.
E foi assim que eu desisti e voltei a estudar programação normal. Até que valeu a pena porque agora eu posso ficar zoando site com XSS.