Дилемма при работе с уязвимым таргетом

[LIGUL]

Доброе утро, форум.
Я частенько проверяю сайты, которыми постоянно пользуюсь, на уязвимости, и иногда получается так, что я кое-что да нахожу.
И в такие моменты у меня часто возникает дилемма: Крутить уязвимость прямо сейчас или сесть всё обдумать и в полной боеготовности крутить потом?
Если я сяду крутить сайт в этот же момент, то возможно столкнусь с чем-то, из-за чего, не будучи подготовленным, спалюсь перед админами или не смогу раскрутить всё до конца (такие случаи у меня уже бывали)
Если сяду всё обдумать, то появляется страх того, что у владельца сайта, прямо на телевизоре перед кроватью, уже появилась куча гигантских красных ерроров и сигнал "ПОЖАРНАЯ ТРЕВОГА" и что вот-вот сайт закроют на "техобслуживание" (такое тоже уже было). Из-за того, что за уязвимости можно получать деньги, каждый таргет воспринимается как шанс ещё сильнее упростить себе финансовую составляющую жизни, отсюда появляется чувство спешки и того, что золотая рыбка вот-вот вырвется из рук и уплывёт в море. Думаю другие тоже сталкивались с подобным, расскажите как вы с этим справляетесь?

 

[Lavander]

Утро. Хз... за годы упущенных возможностей понял, что лучше попробовать и жалеть, чем жалеть, что не попробовал. Негативный опыт - тоже опыт. А прозябание в нерешительности - потерянное время.

 

[n0_mad]

Хацкер из меня "хоть куда", но психологическая дилемма мне ясна. Я соглашусь с оратором выше:

лучше попробовать и жалеть, чем жалеть, что не попробовал. Негативный опыт - тоже опыт.

Нерешительность порождает сомнения, сомнения - барьеры. Далее сомнения и такие вопросы будут возникать чаще. В итоге будет куча упущенных возможностей в копилке. Будет обидно и досадно, особенно если увидишь, что у соседа это сработало. Рискуй, пробуй, но с головой.

 

[FantasticExploits]

В пору открывать кружек психологии хакинга. Ошибатся это нормально бро! Все теряли большие и вкусные таргеты ещё страшнее когда это проходит с огромным треском в сми, а таварищ секурити офисер говорит с экрана, мы тебя найдём. Тут ты вспоминаешь всё где мог накосячить. Или когда первый запрос с исследовательским умыслом отправляешь к своему первому целевому хосту и он отрабатывает как надо, начинает мерещится, что за тобой выехали. Но как-то и в голову не приходило написать об этом где-то.
Дилема это всегда проигрыш. Я тебе открою секрет, тебе нужно делать и первый вариант и второй. Паралельно отмечая (записывая) для себя, что у тебя получилось, а что нет.
Не осилил докрутить вектор? Откладываешь, помечаешь, изучаешь информацию, пробуешь какие-то площадки для тренеровок, нарабатываешь скил. В наше время такого небыло, ты не мог просто пойти на HTB и прочитать выжимку с примерами и настроенной для отработки скила машиной. Сегодня оч много ресурсов направленных именно на формирование навыков по эксплуотации уязвимостей, но ни где к счастью не учат делать это с точки зрения блека. Тут тебе придётся догадыватся самому:
Ага, вечером в пятницу админ явно не пойдёт читать логи, а поедет домой чилить, самое время, покручу его ночами на выходных.
Если я не буду юзать софт в 10 потоков и заменю юзер-агент с названия софта на реальные, будет менее палевно.
Если я вообще не запущу sqlmap, а проведу иньекцию вручную через бурп, будет ещё меньше палева.
Если я не почищу логи, то меня спалят.
Если ещё более кратко, тебе просто не хватает опыта, набирайся.

 

[Chicha07]

Не жалеть и двигаться сразу. Уязвимости и таргеты не вино - со временем лучше не становятся.
Банальный пример обновят систему/сменят юзеров и доступ потерян.

`Лучше сделать и пожалеть, чем не делать и жалеть об упущенных возможностях.

Мой опыт: прое... доступ к ЦБ одной страны, фулл root доступ с возможностью залезть в процессинг.
Проебали, ибо побоялись закрепиться, подготовили всю инфру для снятия денег, а остались без доступов и с кучей дропов.

Не понимаешь чего-либо - помощь форумчан в помощь) Здесь люди не кусаются, и думаю будут рады помочь по каким-то моментам, если таргет интересный и время есть.
И самоаналитика, записывать где были факапы, чтобы в будущем не наступать на одни и те же грабли.

В любом случае, даже ходить на двух ногах люди сразу не учатся, набивают шишки с опытом.
Здесь тоже самое, дерзай бро

Доброе утро, форум.
Я частенько проверяю сайты, которыми постоянно пользуюсь, на уязвимости, и иногда получается так, что я кое-что да нахожу.
И в такие моменты у меня часто возникает дилемма: Крутить уязвимость прямо сейчас или сесть всё обдумать и в полной боеготовности крутить потом?
Если я сяду крутить сайт в этот же момент, то возможно столкнусь с чем-то, из-за чего, не будучи подготовленным, спалюсь перед админами или не смогу раскрутить всё до конца (такие случаи у меня уже бывали)
Если сяду всё обдумать, то появляется страх того, что у владельца сайта, прямо на телевизоре перед кроватью, уже появилась куча гигантских красных ерроров и сигнал "ПОЖАРНАЯ ТРЕВОГА" и что вот-вот сайт закроют на "техобслуживание" (такое тоже уже было). Из-за того, что за уязвимости можно получать деньги, каждый таргет воспринимается как шанс ещё сильнее упростить себе финансовую составляющую жизни, отсюда появляется чувство спешки и того, что золотая рыбка вот-вот вырвется из рук и уплывёт в море. Думаю другие тоже сталкивались с подобным, расскажите как вы с этим справляетесь?