Я изучаю веб пентест, я знаю основы питона, основы Js, и немного веб фреймворки, бд. Большинство тем мне кажутся непонятными. Дайте совет как начинать поэтапно чтобы было понятно на каждом новом шаге
-
XSS.stack #1 – первый литературный журнал от юзеров форума
Как стать хакером с нуля?
- Автор темы Underbafer
- Дата начала
Подскажите как стать президентом с нуля? а то я смотрю видео шортсы в политике этого достаточно что бы баллотироваться ?
Так то оно так, засуну и свою пятачину )
Без основ, конечно ничего не выйдет, поэтому гранит таки придется погрызть. Из обязательного - сети, протоколы, операционки, баш, павершел, тулы, фреймворки и чем побольше хэндс-он экспириЭнса
Программирование - офигенная основа и если она есть, то это сильно повышает шансы. НО выучить все языки типо нереально, поэтому важнейший навык - читать любой код и править его на любом языке. И да этого не достичь без основ на простых япах
Короче, мое мнение такое: сайберспЭйс - вселенная, где всем найдется место и добыча
В этом сайберокеане я встречал офигенных рэдтимеров которые не могут настроить сиськороутер, класных социинженеров не знающих вообше ничЭго из тех основ, офигенных баг хантеров знающих только своих 2 уязвимости, блекдевов из бывших веб-дизайнеров и прочих уникалов
Главная тема - майндсЭт!
В любом деле наступает профессиональная деформация. По простому - залипалово )
Поймите кто вы такой и тогда вы сможете применить себя более эффективно для себя и тиммЭйтов
Например, если ты идешь в веб-девелоперы, то тебе надо минимум изучить кучу всяких веб-фреймворков, дримвиверов, цссов, майэскюельадминов и научиться кодить на каком-то жсскрипте и пхп с скюелем. Дальше ты забабахал какой-то и-магазик на заказ и развиваешься в эту тему, а там рэббитхол ) Поздравляю, ты онлайн-строитель. Можно залипнуть )
Другой пример. Если это же самое время энергичный скрипткидди потратил на лабы на хакЭрских площадках, то незаметно придет день, когда он случайно глянул в вапалайзЭре версии, зашел на гит, нашел сплоит, получил рсе, написал на всех форумах что теперь он хакер и начал на энтузиазме разбираться с кодом эксплоита. Поздраляю - ты онлайн-охотник. Если этот рЭбитхол не пугает и он далее разобрался с овасп-топ10 и кали/попугаевскими тулами, то может просто случайно вынести ранее упомянутый магазик каим-то скюэльмапом и дело в шляпе
Последняя идея - башкоустойчивость, усидчивость и умение использовать то что есть. Все роадмапы написаны, надо просто двигаться вперед неспеша, с любовью и неподдельным любопытством
А вот если у вас в башке ктото гундосит - ща я быстренько освою одну из самых сложных профессий в мире и потом буду просто бомбить банки, наса и спортлото то мне вас жаль - 99% окажется в депресняке и просто потеряет время (хотя что-то полезное всеодно подчерпнете)
я от не пойму, а зачем вам эти материалы?
настройте себе автоперевод в браузере и пользуйтесь оригинальной платформой
там везде есть бесплатные машины и их прям дофига и атакбокс бесплатный тоже есть
но главное - какие бы пдфчики вы не скачивали вам всегда будет нехватать кнопки "старт машина" ))
также там есть дополнительные мотивационные плюхи - ранки, стрики, лидерборды и тп
а как вам такая идея, курите капельку меньше (образно) и вам хватит 10 баксов в мес на платный акк в тиЭйчЭме %) так и живем
Не достаточно, надо напрячь
Здравствуйте коллеги, начитался я ваших комментариев под данным постом. Кто-то пишет, что лабы на HTB, THM со своими "walkthrough" - это все синтетика, что нужно учиться на практике, идти сканить уязвимые таргеты и использовать паблик сплойты. Мнения разделились на две части, те кто за учения сразу в дикой природе после изучение некой "базы-основ" и те кто считают что сперва нужно наработать навыки на лабах. Лично у меня возник диссонанс, что допустим лично я могу изучить идя сразу практиковаться в дикой природе. У меня есть база по сетям, программирую на скриптовых языках уже не первый год, но все равно этого недостаточно и я это осознаю, ясное дело данная профессия не из тех, что изучается за год-два. Существует куча тем и подтем, да та же эксплуатация Active Directory какая сложная вещь, опять же лично для меня ни разу не работающего с администрированием корп сетей. На том же TryHackMe есть достаточно комнат для изучения AD и море других разных техник, фреймворков и инструментов. Непонятно кто из вас прав, а кто нет. Скрипт-киди быть желания нет, информации много, так что тренировка сразу на реальных таргетах… возникает много вопросов, а как, а что дальше итп
И почему-же?
ИМХО с этого и начинали в основном раньше. =)
Я не спорю, просто ставлю под сомнения целесообразность действий. Возможно там и можно сразу чему-то и научиться, и скорее всего даже успешно кто-то обучается по такой методике. Но правда ли настолько эффективно собирать каждое новое знание по крупицам, как в темноте ощупывать предметы или сначала обучиться базе какой никакой на лабах, зато с пониманием того, что ты делаешь.
Так это же только на две. Выбирай либо та, либо эта. Плюсы и минусы ты понимаешь судя по твоим размышлениям.
Какой бы вариант ты не выбрал, все одно опыт и знания в копилку. Выбор за тебя никто не сделает.
то что возникают вопросы - это хорошо, это инстинкт самосохранения подавляет излишний энтузиазм
это значит что ты мыслишь критически и все у тебя будет тип-топ, просто подожди немного )
Если серьезно. Пока у вас нет полной уверенности что вы таки разобрались, то просто учитесь. И паралельно наперед шифруйте как все будете делать дальше. Рисуйте схемки, продумывайте свой будущий сетапчик для атак.
Так что это не выбор из двух, а последовательность. Сначала просто учишься, потом работаешь и все равно всю жизнь учишься ))
все были script kiddie когда-то, я вот например был
)что важно: не останавливаться на уровне script-kiddie, а ну хоть как-то изучать то что ты собственно хакаешь - по мне это вообще вопрос САМОуважения не меньше.
ну это как автомобиоль на котором ездишь - ну да, куда-то может пока сам не полезешь в ГРМ, блок цилиндров и прочие коленвалы с клапанами, но уж банально колёса отвинтить и привинтить, масло сменить, свечи сменить, не говоря уже о стеклоомывайке и дворниках, в общем как говорили мне все автомеханики в гаражах: всё что снаружи и что видишь сверху когда открываешь капот - это твоя зона ответственности как водителя, а иначе ты не водитель, а
вопрос чего ломать лабы или рил таргеты - это вообще вопрос
хочешь "работать - работу, получать - зарплату", писать длинные отчёты (а "белый хакер" он круче блэка тем, что должен не одну дырку найти а по возможности все-все и ещё и предложить как заделать), а также (возможно) терпеть унижения от начальства, которое (возможно будет) на порядок глупее тебя, но почему-то то что "я не жираф!" - это будешь доказываешь им ты - тогда вперёд в белые хакеры они же "волки-веганы"
в теории за баг-баунти чем отличается
хочешь рисковать, "еб@ть - так королеву! украсть - так миллион!" , но в реальной жизни быть тихим паинькой? тогда тебе в "чёрные шляпы". это примерно как ниндзя - они только в фильмах в чёрных балахонах бегали с мечами (ага, которые и "палевные" да ещё и стоили как звездолёт!) и сюрикенами-звёздочками кидались как из пулемёта (на самом деле - чаще резали шеи ими вплотную, сюри - скрытый, а кен - меч, вдруг кто не знал они "скрытого ношения" типа того), а в реале по фактам из истории они "сливались с толпой" и выглядели то как крестьянин, то как монах, то как ещё кто - в зависимости от ситуации, а оружие их было такое которое "не выглядело как оружие" - ибо для ниндзи конспирация на первом месте и даже важнее единоборств - они вообще редко дрались как в кино, а благоразумно и без лишних понтов "делели дело" и сматывались побыстрее. да, главный скилл ниндзи - это скрытное и быстрое передвижение и "проникание туда куда хрен кто проникнет", "а не вот это вот всё из кино", удивлён? "бесчестно!" скажешь? ну а зато - прибыльно!
опять же деление условное - можешь ломать и лабы и рил таргеты, лабами разумеется хвастаться, а таргетами лучше хвастаться не надо (тут на xss - можн!
позаботившись об анонимности разумеется), и быть и белым и чёрным и "в крапинку" и серо-буро-малиновым хакером - каким ТЫ САМ захочешь!например, я друзьям делаю ИБ-аудит и иногда даже
знание матчасти и скилы по взлому - они безэмоциональны и там НЕТ (вообще нет! совсем нет! правда-правда нет!) "белых" или "чёрных" нигде окромя как в бОшках (ограниченных) людей!
это как "границы существуют лишь на картах и в умах ограниченных людей" - не помню кто сказал, спросите у чатджипити.думаю на этом холивар black vs white себя исчерпал сам собой.
Последнее редактирование:
ага, так всю жизнь можно сидеть придумывать как в песне "Nowhere Man" у The Beatles
да и схемы то уже нарисованы прям подробнее некуда.
а вот это в точку. у меня вон казалось бы тонны рил опыта (всмысле работал на работах и получал зарплаты даже за это) от embedded и networks до games и blockchains (а hack это скорее "хобби из детства"), более двадцати лет "профдеформации" не шутка , а всё равно как полезешь что-то "копать" (особенно чуть глубже чем остальные и круг кого спросить резко сужается - "думай давай сам" как бы намекает жизнь
) так сидишь с открытым ртом как перед "заморским чудом" модемом в 15 лет или как перед принтером электроника мс-6313 в 9 лет... и думаешь "куда тут чего сувать то?" (инструкции для русских вообще должны начинаться со слов "ну что - уже сломал?..." ) а выручает научный подход, который описан на первой странице первого учебника по физике за 7-й класс (из СССР и раннего пост-СССР, того самого легендарного с синей обложкой), цитирую по памяти:
"Издревле люди черпали свои знания из наблюдений и опытов." - тут сказано вообще ВСЁ! и на всю жизнь! просто кто-то это рил в школе изучал, а кто-то тупо "проходил"
Последнее редактирование:
Что бы так выёбываться для начала просто заработай. Если ты не ценишь свой труд в баксах, то ты хуёво трудишься.
с кардинга начнешь остальное воздух))
кардинг прошлый век, сейчас все деньги в хакинге.
1. Денег в хакинге нет и никогда не было и не будет ибо это технический процесс, как нет и никогда не было денег в процессе например хирургической операции или замены колеса в шиномонтажке.
2. Деньги находятся в казначействе, монетном дворе, банках и по карманам граждан, но больше всего их "в умах людей". Также роль денег как таковых в этом обществе (особенно у бедных слоёв населения) - сильно преувеличена.
3. Заработать (ну а точнее будем честны - в нашем случае с**здить) много и даже иногда неприлично много можно отказавшись в голове от понятия "деньги" (я про фиатные - монеты, бумагу или "цифру", да даже и "крипту" в общем-то) и культивируя в голове такие понятия как "ресурсы", "ценности" или даже "высоколиквидная хрень" - и тогда "деньги" добудутся (и что очень важно - продолжатся добываться! ну как нефть или газ) как "побочка" просто.
Поясню по поводу пункта 3. (все совпадения имён - случайны, ничего личного) :
a) Простодушный Ваня проник в сеть банка и ломал банкомат чтобы тот выдал своё содержимое но его "приняли" и деньги вот они улика в кармане,
а Хитрожопый Егорка ломал криптобиржу причём не бурел выводя ярды (как эти из новостей), а дописал милипизерный скриптик который $0.00...01 с миллионов операций тихо и незаметно отправлял по много раз в секунду ему на кошель пожизненно (ну или пока не спалят, но $0.00....01 это ничто с миллионами там пролетающими, см. вон Daily Trading Volume 24h на CoinMarketCap.com)
б) Простодушный Ваcя ломал шопы с целью добычи кредиток и потом ломал свою голову как эти кредитки применить,
а Хитрожопый Вассерман сломал один раз и внедрил код в систему перераспределения игровых предметов в криптоигре и теперь его бот продаёт эти нештяки со скидкой "игрозависимым".
в) Протодушный Зайка героически прогрыз деревянный забор и залез в огород за морковкой но его увы застукали и поймали и пустили на жаркое,
а Хитрожопый Кротик прорыл туннель под землёй и беспалевно жрал морковку каждый день и ещё на зиму себе склад там сделал.
Что общего в эпизодах выше как по "деньгам", так и (самое главное) по "экшнам" - все думаю поняли?
Вывод:
Хакинг - это не про деньги, а про Процесс (скрытного) Контроля над Системой, раздающей разные нештяки (assets), если эту Систему "внезапно" использовать "нештандартен manner".
А спонсор этого выпуска "хакай с умом" вот эта вот замечательная книжка на все времена 1954 года выпуска.
Ура товарищи! Слава товарищу Сталину! Вечный позор тем кто предмет "Логика" отменил в средней школе потом!
И вот не надо тут "у меня с Этим всё в порядке!!!" , я же вон не стесняюсь такое читать и народ приобщать - и вы не стесняйтесь! ;-)
Последнее редактирование:
И изучив всё-всё-всё это - достойно и гордо умереть от старости.......
Вспомнился анекдот:
Код:
Умирает старенький уважаемый профессор, вокруг собрались ученики его:
- Ох Вы светило науки! Ах как много научных трудов Ваших целая полка!...
На что профессор рассказал им "поучительную историю":
- Когда я был молод как вы, нас отправили в колхоз на сбор урожая,
и я там познакомился с деревенской девушкой,
да не просто познакомился а пошли мы уже на сеновал!
И на этом проклятом сеновале я и так и сяк пытался, но её попа провалвалась в мягкое сено!...
Знаете что я думаю про вот эти вот мои научные труды все @$%ные!?
Вот бы их все взять и отправить машиной времени туда и ей под попку подстелить чтоб в сено не проваливалась!!!как ты не называй "деньги" "ресурсами" разницы в получения профита от этого не будет, надо быть именно настроеным получать монетизацию.
Ты возможно не поверишь, но и у Кевина Митника, и у Макса Батлера, и вообще у всех тут присутствующих "недостаточно" знаний! Потому что нельзя (и нефиг даже пытаться!!!) "знать ВСЁ" !
В этой жизни в любой предметной области побеждает не тот у кого больше "знаний", а тот у кого больше практики рождающей из "знаний" умения, которые перерастают в навыки и в конечном итоге (и это пик, но уровня навыки достаточно) в глубокое понимание , и только понимание может рождать принциписльно новые "знания" !
Примеры глубокого понимания темы и как результат рождение новых знаний - это доклады труъ ресерчеров на DefCon и BlackHat конференциях, которые "game changers" бывают то есть "ставят на уши" вообще всю индустрию ИБ всего мира иногда!
ты ничего не понял
a) можешь перечитать в чём очень важное отличие и какую свежую мысль я хотел донести до широкой аудитории
б) можешь так и остаться думать "он перосто деньги ресурсами обозвал эка невидаль!"
Специально для тебя "вкрации" две больших разницы:
а) кейз когда подключился к проводам и временно спиздил чуток электричества с риском быть застуканным за этим как за мелким онанизмом и получить позор, штраф и прочие кары.
б) кейз когда заовнил себе электростанцию (или даже кусочек) да причём так, что никто этого даже ваще не понял и ты беспалевно получаешь электричество на постоянной основе.
Чуешь разницу где ресурс тут а где его нет и близко?
Последнее редактирование:
Найди работу где платят 150-200 в месяц, по*башь, если здоровье есть. Потом вопросы "как" и "где" отпадут сами собой
. THB, THM сайты ты знаешь, вперёд родной, если не осилишь - значит не твое.
. THB, THM сайты ты знаешь, вперёд родной, если не осилишь - значит не твое.