Наблюдаю очень много вопросов "с чего начать, я теряюсь" - есть же общеизвестная методичка: MITRE Attack Matrix

[zdestuta]

По MITRE Attack Matrix можно строить уже конкретные "kill chain" в зависимости от таргета, данная "методичка" (roadmap) не ограничивается вебкой, а охватывает весь спектр APT (Advanced Penetration Testing) подходов и методов, правда без подробностей, на то это и roadmap.

Для любителей хакать (а хак это тестирование - просто продвинутое, рекомендую понять методики QA, даже поработать QA - это уже хороший опыт) именно вебку есть OWASP Testing Guide V4 - написано в 2014 но актуально будет ещё долго плюс обновляется и будут новые версии плюс старых версий есть перевод на русский. Хотя без инглиша я хз чего делать в пентесте - вся самая сочная свежая инфа именно на инглише выходит первой (DEFCON.com , BlackHat.com)

Определившись с kill chain, за конкретикой ("страшными заклинаниями" ) можно ходить на HackTricks или PayloadAllTheThings.

Мождно конечно и сразу брать в руки "заклинания вне Хогвардса" и лупить хаотично по таргету , но без понимания методологии - это всегда будет "чесание репы" и вопросы в стиле "с чего же тут начать та??!..."

"Библия учит возлюбить ближнего своего, а КамаСутра учит как конкретно это сделать!" (c)тырено с интернетов
Ну так вот инфа от MITRE и OWASP это библия, а всякие hack tricks это уже КамаСутра!

 

[SRCARDER]

По MITRE Attack Matrix можно строить уже конкретные "kill chain" ? Ок а где взять актуальные эксплойты, скан ипов итп ?)

 

[zdestuta]

По MITRE Attack Matrix можно строить уже конкретные "kill chain" ? Ок а где взять актуальные эксплойты, скан ипов итп ?)

Написать сплоиты и просканировать ипы?

 

[SRCARDER]

Написать сплоиты и просканировать ипы?

мало кто может писать эксплойты)) ты можешь ? и сканировать ипы тоже стало сложнее после того как masscan.online испортили

 

[Whisper]

Было исследование - почему у некоторых людей получается освоить медитацию а у других нет.
Выяснилось что если человек нифига не знает про техники медитаций и ему дать только 1 конкретную технику то он почти с вероятностью 100% ее освоит и будет получать удовольствие от процесса, но вот если людям давали побольше инфы или они заранее что то такое читали то у них очень редко получалось что то толковое.
Новичку который не знает как начать, надо давать по очереди строго конкретные кейсы а не вываливать ему кучу непонятного на изучение чего уйдет 20лет и неясно будет ли профит.

 

[BLUA]

Ну сложнее стало лишь тем, что теперь это нужно делать самому...
А кто это делал и раньше сам, то для них ни чего не изменилось, тут кстати недавно
видел что кто-то советовал альтернативу masscan.online если уж так припёрло.
Но смысл платить за то, что можно сделать бесплатно(условно) ?

 

[zdestuta]

Ну сложнее стало лишь тем, что теперь это нужно делать самому...
А кто это делал и раньше сам, то для них ни чего не изменилось, тут кстати недавно
видел что кто-то советовал альтернативу masscan.online если уж так припёрло.
Но смысл платить за то, что можно сделать бесплатно(условно) ?

да, самому писать, всё верно! исследовать и найти 0-day это конечно нелегко, но если уже где-то нашли и заявили то уже остаётся же только "доковырять готовое" и написать сплоит - раньше так и делали всегда, сейчас же готовые ищут (вспоминаю недопрограммистов на Delphi которые чуть что искали "готовые компоненты" )
что-то прям вспомнилось из СССР-детства и хочется сказать вот так же молодёжи как красная шапочка в этой песенке:

 

[Whisper]

да, самому писать, всё верно! исследовать и найти 0-day это конечно нелегко, но если уже где-то нашли и заявили то уже остаётся же только "доковырять готовое" и написать сплоит - раньше так и делали всегда, сейчас же готовые ищут (вспоминаю недопрограммистов на Delphi которые чуть что искали "готовые компоненты" )
что-то прям вспомнилось из СССР-детства и хочется сказать вот так же молодёжи как красная шапочка в этой песенке:

Ну так это было тогда и тама, а здеся и тута уже все совсем иначе!

 

[Billing]

есть бородатые кодеры, которые годами не могут найти 0дей)

 

[Vinki]

и сканировать ипы тоже стало сложнее после того как masscan.online испортили

Что тебе мешает взять сервер закинуть туда масскан и сканить безлим?

 

[zdestuta]

есть бородатые кодеры, которые годами не могут найти 0дей)

"находть 0дэй" - не является задачей разраба или тем более архитекта, а разработка не является задачей QA (и уж тем более APT как QA в сфере ИБ)
как говорят буржуи: it's two different mindsets.
очень-очень редко кто сочетает эти два набора скилов.

 

[zdestuta]

Что тебе мешает взять сервер закинуть туда масскан и сканить безлим?

Под "взять" конечно же понимается initial access например через вебку, затем privesc (от лутанья пассов с помощью strings+grep в /dev/mem до GTFOBins всяких) до суперпользователя - ну и вот он халявняй сервак! так? ;-)

 

[zdestuta]

Было исследование - почему у некоторых людей получается освоить медитацию а у других нет.
Выяснилось что если человек нифига не знает про техники медитаций и ему дать только 1 конкретную технику то он почти с вероятностью 100% ее освоит и будет получать удовольствие от процесса, но вот если людям давали побольше инфы или они заранее что то такое читали то у них очень редко получалось что то толковое.
Новичку который не знает как начать, надо давать по очереди строго конкретные кейсы а не вываливать ему кучу непонятного на изучение чего уйдет 20лет и неясно будет ли профит.

Ну если вдруг у какого-то человека синдром "Буриданова осла" (который помер с голоду от того что не мог выбрать из какой из 2-х кормушек жрать) , то очевидно ему ни техники не помогут ни роадмапы ни даже медитации
И странное сравнение "методологии тестирования ПО" (по сути то) и "медитации".

 

[Whisper]

Ну если вдруг у какого-то человека синдром "Буриданова осла" (который помер с голоду от того что не мог выбрать из какой из 2-х кормушек жрать) , то очевидно ему ни техники не помогут ни роадмапы ни даже медитации
И странное сравнение "методологии тестирования ПО" (по сути то) и "медитации".

А ну раз так то сейчас благодаря вам и этому замечательному роадмапу мы получим массу замечательных специалистов, сначала здеся, потому тута а затем и тама. Нульдеи польются как дождь в сентябре.
И кстати сравнения медитации и методологии тестирования не было, вообще сравнения небыло чего-то с чем-то. А было исследование которое говорит о том что не компетентным(по сути новичкам в деле) не нужны развесистые роад мапы и богатсво выбора техник, так же им не нужно позволять забегать вперед паровоза, все это не идет на пользу. На всяский случай акцентирую что кейс был про _обучение новому_ а не про медитации.
Хз как вы тама нульдеи ловите, если здеся не можете поймать суть не особо сложного предложения.

 

[Vinki]

Под "взять" конечно же понимается initial access например через вебку, затем privesc (от лутанья пассов с помощью strings+grep в /dev/mem до GTFOBins всяких) до суперпользователя - ну и вот он халявняй сервак! так? ;-)

Ну если бюджет ограничен, тогда примерно так
А по-хорошему, купить 5-20 серваков по 100$ и на каждый накинуть масскан. Работай - не хочу

 

[Saga5300]

есть бородатые кодеры, которые годами не могут найти 0дей)

значит надо что-то менять, к примеру брить бороду, мыться каждый день в душе как минимум)

 

[zdestuta]

А ну раз так то сейчас благодаря вам и этому замечательному роадмапу мы получим массу замечательных специалистов, сначала здеся, потому тута а затем и тама. Нульдеи польются как дождь в сентябре.
И кстати сравнения медитации и методологии тестирования не было, вообще сравнения небыло чего-то с чем-то. А было исследование которое говорит о том что не компетентным(по сути новичкам в деле) не нужны развесистые роад мапы и богатсво выбора техник, так же им не нужно позволять забегать вперед паровоза, все это не идет на пользу. На всяский случай акцентирую что кейс был про _обучение новому_ а не про медитации.
Хз как вы тама нульдеи ловите, если здеся не можете поймать суть не особо сложного предложения.

В итоге без знания методологии но "зато я знаю как заюзать sqlmap!" - получаем воросы "как мне заюзать тут SQLi" когда на ендпоинте SQLi нет и быть не может, зато там RCE через LFI (или HTTP request smuggling, или mass assignment и вход по царски админом срау, или .... - вот для этого надо знать разные методы) прям невооружённым глазом видно и эксплуатируется это вручную на раз-два давая шелл на серваке, разумеется не суперюзерный шелл но всё же, но ""люди, в совершенстве владеющие одним приёмом" упорото продолжаьт искать SQLi конечно же )) Ну да, зачем нам знать разные методы из attack marix, можно же одним SQLi овладеть и всё-всё ломать! Или по твоему Иранские центрифуги для обогащения урана (малварь stuxnet), у которых вообще air gap с внешним миром, сломали зная "один метод, но в совершенстве" ? через SQLi сломать sqlmap'ом их, как думаешь? :-D)))

 

[zdestuta]

0day — это не вопрос количества, а вопрос качества.

а ещё 0day это серьёзное исследование длящееся не один день (неделю) либо фаззинг при чёрной коробке либо чтение и дебаг кода с разными пэйлоадами белой коробке, а не на форуме спросить
но суть даже не в этом, допустим дыра известно что существует - "не только лишь все" разберутся по готовому указанию, полезут в код, напишут сплоит, протестируют локально в VM этот сплоит... нееет, пойдут на форуме тут спрашивать "дайте готовый сплоит!" благо готовые сплоиты в паблике лежат как правило PoC плюс с ошибками, чтоб кто попало не стал мамкиным хакером. другая проблема мамкиных хакеров - ну вот получил он initial access, а что делать дальше он не знает, потому что методы privesc , lateral movement и post-exploitation для таких пустой звук. и вот казалось бы - а в чём проблема? а проблема в том, что после initial access мамкины хакеры на радостях шумят как слоны в посудной лавке - в результате вкусный таргет "сливается", ибо даже никакущий админ который забил на логи сервака начинает этот шум замечать уже неиллюзорно по тормозам сервака который дрючат вдесятером безуспешно роясь уже внутри и потом "я залез и ничего не нашёл!"
но тут пишут, ага, "зачем нам методология" и "овладеть одним методом лучше".

 

[GetterSetter]

В итоге без знания методологии но "зато я знаю как заюзать sqlmap!" - получаем воросы "как мне заюзать тут SQLi" когда на ендпоинте SQLi нет и быть не может, зато там RCE через LFI (или HTTP request smuggling, или mass assignment и вход по царски админом срау, или .... - вот для этого надо знать разные методы) прям невооружённым глазом видно и эксплуатируется это вручную на раз-два давая шелл на серваке, разумеется не суперюзерный шелл но всё же, но ""люди, в совершенстве владеющие одним приёмом" упорото продолжаьт искать SQLi конечно же )) Ну да, зачем нам знать разные методы из attack marix, можно же одним SQLi овладеть и всё-всё ломать! Или по твоему Иранские центрифуги для обогащения урана (малварь stuxnet), у которых вообще air gap с внешним миром, сломали зная "один метод, но в совершенстве" ? через SQLi сломать sqlmap'ом их, как думаешь? :-D)))

По факту, условный Вася не сможет заюзать "методологию" пока у него не сформировались необходимые навыки и опыт. MITRE об классификации, об общем представлении, как происходит kill-chain. Возьмем категорию Initial Access. В один шаг Вася не получит первоначальный доступ, поскольку это задача комплексная, разделенная на множество подзадач. Каждый случай такой операции рассматривается отдельно, посколько существует множество разных вариаций инфраструктуры таргета, используемых технологий и т.д. У Васи нет в голове интуиции, готовым паттернов и алгоритмов для взлома корпораций даже, если у него имеется под рукой методичка

 

[Whisper]

В итоге без знания методологии но "зато я знаю как заюзать sqlmap!" - получаем воросы "как мне заюзать тут SQLi" когда на ендпоинте SQLi нет и быть не может, зато там RCE через LFI (или HTTP request smuggling, или mass assignment и вход по царски админом срау, или .... - вот для этого надо знать разные методы) прям невооружённым глазом видно и эксплуатируется это вручную на раз-два давая шелл на серваке, разумеется не суперюзерный шелл но всё же, но ""люди, в совершенстве владеющие одним приёмом" упорото продолжаьт искать SQLi конечно же )) Ну да, зачем нам знать разные методы из attack marix, можно же одним SQLi овладеть и всё-всё ломать! Или по твоему Иранские центрифуги для обогащения урана (малварь stuxnet), у которых вообще air gap с внешним миром, сломали зная "один метод, но в совершенстве" ? через SQLi сломать sqlmap'ом их, как думаешь? :-D)))

Я думаю вот что - Проблемы и вопросы _обучения_ это отдельная и сложная тема, есть определенные хорошие и плохие практики, и это внезапно отдельная наука и отдельная профессия. И просто вывалить вагон информации со слвами - ты что дибил или осел? - вот же все есть, просто выучи! Это дружище прости издевательство.
Немного раскрою тему.
Представим путь дохуя умного старичка.
Вот он где-то в середине девяностых или начале двухтысячных начал свой путь, решил он допустим стать кодером и написать вирус и стать хакером.
Языков программирования не так что дофига, языки эти синтаксически простые, операционки тоже простые, информации доступной тоже не много, а еще иформация вся актуальна и не устаревает еще до того как ты успел ее усвоить. А да, нет никаких едр, ав простые и тупые, даже уака еще нет, фаеры тоже простые, никаких клаудов. И вот он постепенно не спеша почитывает инфектед-войс и осваивает всякое разное, практики полно, вся практика актуальна, задачки простые и решаются постепенно и ему не надо выбирать из кучи вариантов которые он не может оценить потому что не компетентен еще, нет он спокойно и последовательно учится. Время идет все постепенно усложняется но у него уже такой багаж знаний что это не проблема и воспринимется естественно и не напряжно. Растет его опыт, паралельно растет сложность, он к этому готов. И это так во всем, не только в кодинге. Сфера ит набирала динамику постепенно и старички легко входили в ритм.
А теперь сравните с чем сталкивается современный нуб. Да ему пиздец во сколько раз сложнее. И вывалить ему вагон инфы со словами - вот все есть, не будть ослом! - Это нихуя не помощь.
Старики - не будьте мудилами.