Пентест — это не коллекция инструментов. Хорошего специалиста отличает то, как он думает: сначала строит модель системы в голове, потом ищет в ней слабые места. Инструменты вторичны. Понимание того, как работает цель — первично. Поэтому большинство людей застревают на полпути: учат команды, но не учатся мыслить как атакующий.
Пентест — редкая техническая профессия, в которой умение «ломать» ценится не меньше, чем строить. Работа состоит не только во взломе, но и в грамотной фиксации найденного и объяснении заказчику, как избежать повторений. Войти в профессию кажется просто: поставить Kali, запустить nmap — и готово. В действительности разрыв между запуском сканера и реальным тестом огромен. Многие гайды этот разрыв не показывают, из-за чего новички теряются и не видят прогресса.
В этой статье нет пространных морализаторских вступлений о том, что взламывать без разрешения — плохо. Здесь — концентрат о том, что реально важно: инструменты, подход, порядок шагов и нюансы, часто остающиеся за рамками типовых дорожных карт.
С чего начинают все и где застревают
Почти все новички начинают одинаково: ставят Kali или Parrot OS, смотрят YouTube про nmap и Metasploit, решают первые задания на TryHackMe. Прогресс есть, но через несколько месяцев наступает плато.
Оно связано с тем, что команды изучены, а понимания, как работает «под капотом», нет. Человек помнит, как вызвать msfconsole, но не понимает, почему определённый эксплойт срабатывает на одной версии сервиса, а на другой — нет. Слышал про SQL-инъекции, но не разобрался, как работает запрос, где именно возникает уязвимость и что происходит на сервере.
Ключ к преодолению этого уровня — изучать протоколы и механизмы работы, а не только инструменты. Инструменты — всего лишь ускорители, полезные, если понимаешь, что и зачем автоматизируешь.
Фундамент: что нужно знать до первого пентеста
Как работают сети на реальном уровне
Знать теорию TCP/IP мало. На практике важны детали: особенности поведения протоколов при нештатных сценариях.
К примеру, ARP (Address Resolution Protocol) не требует аутентификации: любой хост в сегменте может отправить произвольный ARP-ответ, и другие машины обновят свои таблицы. Это позволяет реализовать ARP spoofing и MITM. Понимая, как устроен протокол — проще понять и за что отвечает атака, и на что обратить внимание при защите.
Ситуация с DNS аналогична: если резолвер доверяет полученным ответам без проверки источника, возможны атаки через отравление кэша (DNS cache poisoning). В корпоративных сетях до сих пор используется SMB с поддержкой устаревшей аутентификации — отсюда множество атак на Windows-сервисы (например, NTLM relay).
Изучать стоит: глубокое понимание TCP/IP, DNS, SMB, LDAP, Kerberos, HTTP/HTTPS — не по «визитной карточке», а с фокусом на уязвимости, возникающие при нарушении типового поведения.
Linux как среда, а не набор трюков
Kali — это только дистрибутив Linux с удобным наполнением. Настоящий навык — быстро и уверенно работать в незнакомой среде. Чётко ориентироваться в файловой системе и процессах, разбираться в правах доступа и сервисах, анализировать сетевые соединения и логи, управлять системными задачами без графического интерфейса.
Потребуется уверенный bash, понимание команд chmod, chown, работы с ACL, умение анализировать процессы, обращаться с правами через sudo и знать, где хранятся сессионные и учётные данные.
Python: для автоматизации рутины
Миф: Python нужен для написания сложных эксплойтов. На практике он незаменим для обработки вывода инструментов, написания вспомогательных скриптов для перебора, быстрого парсинга или сбора информации.
Минимум: работа со строками и файлами, requests для HTTP, socket для сетевых задач, subprocess для запуска сторонних команд. Даже простейший однострочный скрипт, который перебирает список URL и сохраняет коды ответов — уже большой плюс в работе.
Методология пентеста: скелет любого успешного теста
Методологический подход — не формальность: без плана процесс выродится в хаотичное «тыкание» инструментов, упустится главное.
Разведка: пассивная и активная
Разведка делится на пассивную (OSINT) и активную (прямое взаимодействие). Это принципиально разные области.
- Пассивная разведка: сбор инфы без взаимодействия с целью. Поиск поддоменов в сертификатных логах, e-mail сотрудников в соцсетях, GitHub-репозитории с исходниками и забытыми токенами, анализ открытых портов через сторонние сервисы (Shodan, Censys). Часто самые критичные находки — именно здесь.
- Активная разведка: прямой контакт: сканирование портов, анализ сервисов, DNS-запросы. Здесь начинается зона ответственности перед заказчиком — важно соблюдать согласованный scope.
Инструменты: theHarvester, amass, subfinder, Shodan, Censys, Maltego.
[ИЗОБРАЖЕНИЕ: схема этапов разведки — пассивная vs активная]
Сканирование и перечисление
Правильный пентест — это сперва общее представление, потом детализация. Сначала быстрый скан всех портов (например, nmap -p- —min-rate 5000), затем подробное сканирование только найденных портов c определением версий сервисов (nmap -sV -sC -p PORTS). Masscan отлично подходит для очень больших сетей, но требует проверки находок.
Следующий шаг — перечисление (enumeration): если найден SMB — пробуем узнать список пользователей, если открыта LDAP — извлекаем схему домена, если web-сервер — ищем незадокументированные директории (gobuster, ffuf).
Веб-пентест: основная зона уязвимостей
Реальные бизнес-системы чаще всего слабы во внешних и внутренних web-приложениях. Классика: SQL-инъекции, XSS, IDOR (несанкционированный доступ к данным по изменённому идентификатору), SSRF (заставить сервер сделать вредный запрос внутрь сети).
Главное — не просто запускать sqlmap, а понимать, почему возникла уязвимость, как устроены SQL-запросы и парсеры браузеров. Именно ручная работа через Burp Suite и лаборатории (PortSwigger Academy) вырабатывают нужное мышление.
[ИЗОБРАЖЕНИЕ: пример схемы эксплуатации SQL-инъекции]
Повышение привилегий
Доступ в систему часто бывает ограниченным — нужна эскалация прав.
- В Linux ищут SUID-бинарники, уязвимости в sudo/capabilities, ошибки в настройках cron, слабые пароли и уязвимости в ядре.
- В Windows ищут некорректные права у служб, токены с избыточными привилегиями, сохранённые пароли в реестре или UAC bypass.
LinPEAS (Linux), WinPEAS (Windows) автоматически собирают информацию о возможностях эскалации, но не всегда выдают готовое решение.
Active Directory: тестирование сердца корпоративной IT
Почти все крупные фирмы строят инфраструктуру вокруг Active Directory. Критические навыки: понимание архитектуры (контроллеры домена, пользователи и группы, механизм Kerberos и LDAP). Для атак — Kerberoasting, AS-REP Roasting, Pass-the-Ticket, а также атаки типа NTLM relay.
BloodHound и SharpHound — инструмент для визуализации связей и атакующих путей внутри домена. Mimikatz — для извлечения и манипуляции с учётными данными из памяти. Все эти инструменты требуют осторожности из-за высокой детектируемости в реальных сетях.
Постэксплуатация: закрепление и развитие атаки
После получения доступа задача не закончена — нужно закрепиться (persistence), изучить внутреннюю сеть и собрать максимум полезной информации (например, lateral movement по хостам по найденным данным, pass-the-hash или анализ с помощью CrackMapExec).
Отчёт: результат, за который платят
Грамотный отчёт — залог пользы для заказчика. Важно уметь не только обнаружить и воспроизвести уязвимость, но и описать шаги, оценить риск, дать конкретные рекомендации. Практикуйтесь оформлять write-up даже для лабораторных машин — так учитесь структурировать мысли и доносить выводы.
Инструменты по фазам: что реально используют
Разведка и OSINT
- theHarvester: сбор email, поддоменов, IP из публичных источников.
- amass / subfinder: пассивное перечисление поддоменов.
- Shodan: поиск интернет-устройств/сервисов по сигнатурам и баннерам.
- Censys: расширенный поиск по TLS и сервисам.
- crt.sh: получение списка поддоменов из сертификатных инфраструктур.
- Maltego: визуальный анализ связей.
Сканирование и перечисление
- Nmap: универсальное сканирование портов и сервисов.
- Masscan: супербыстрый сканер больших диапазонов.
- Nikto: автоматическая проверка веб-серверов на конфиг-ошибки.
- Nuclei: сканер с шаблонами CVE и мисконфигураций.
- gobuster / ffuf: перебор директорий/файлов на web.
- enum4linux: сбор информации через SMB (шары, юзеры, группы).
Веб-пентест
- Burp Suite (Community и Pro): проксирование HTTP-трафика, анализ и модификация запросов.
- sqlmap: автоматизированная эксплуатация SQL-инъекций.
- OWASP ZAP: альтернатива Burp Suite с акцентом на автоматизацию.
- wfuzz: брутфорс путей и параметров в web-приложениях.
Эксплуатация и постэксплуатация
- Metasploit Framework: эксплуатация, автоматизация, Meterpreter-пейлоады.
- Impacket: инструменты для работы с протоколами Windows (SMB, Kerberos, NTLM и др.).
- CrackMapExec (NetExec): комплексная работа с Active Directory в автоматическом режиме.
- BloodHound + SharpHound: сбор и анализ путей повышения привилегий в AD.
- Rubeus: атаки на Kerberos.
- Mimikatz: извлечение паролей/хэшей из памяти Windows.
Пост-обработка и утилиты
- Hashcat: перебор хэшей с GPU-ускорением (NTLM, bcrypt и др.).
- John the Ripper: классический password cracker.
- Responder: перехват NetNTLMv2 хэшей в локальной сети.
- Chisel / ligolo-ng: туннелирование трафика для доступа к скрытым сегментам.
Где практиковаться: путь от простого к сложному
Платформы с готовыми машинами
TryHackMe: идеальный старт, есть обучающие треки, задачи с подсказками, частичный перевод интерфейса на русский. Подписка открывает весь контент.
Hack The Box: реалистичнее, сложнее, меньше подсказок. Есть Starting Point для новичков и сертификаты (например, CPTS). В HTB Academy много структурированных курсов.
PortSwigger Web Security Academy: лучшая бесплатная лаборатория по веб-уязвимостям (OWASP Top 10) — теория + практика через Burp Suite.
VulnHub: коллекция VM для локальной работы.
GOAD: лаборатория для отработки AD-атак (разворачивается на локальном гипервизоре), идеальна для тренировки навыков с BloodHound и Kerberos-атаками.
CTF и bug bounty
CTF — соревнования, в которых нужно найти флаг. Хорошая прокачка узких скиллов; недостаток — задачи часто далеки от реальных сценариев пентеста.
Bug bounty — реальные системы и реальные вознаграждения. В России популярны Standoff365 и BI.ZONE Bug Bounty. Практика научит, как общаться с безопасниками и оформлять отчёты.
Дорожная карта: реалистичный маршрут для новичка
Всё зависит от исходных знаний и скорости обучения. Если есть опыт системного администрирования или разработки, освоение идёт быстрее. Примерный горизонт при 2–4 часах в день:
Чек-лист этапов:
- Этап 1: Фундамент (2–3 месяца)
- Linux: работа с правами, процессами, сетью, bash скрипты
- Сети (TCP/IP, DNS, HTTP, SMB): не только что, но и почему
- Python: как минимум пять практических скриптов
- Решены все задачи OverTheWire Bandit и минимум 10 машин TryHackMe
- Этап 2: Методология и первые инструменты (3–5 месяцев)
- OWASP Top 10: понимание механики уязвимостей
- Навыки работы с Burp Suite
- 20+ решённых машин на TryHackMe/HTB с написанием write-up’ов
- Понимание отличия black box и grey box тестов
- Этап 3: Глубина и специализация (5–9 месяцев)
- Active Directory: работа с BloodHound, Impacket, Kerberoasting
- 50+ машин суммарно, в т.ч. с AD
- Три полноценных отчёта о найденных уязвимостях
- Участие в CTF или первая находка багов в Bug Bounty
- Этап 4: Сертификация и трудоустройство (9–15 месяцев)
- eJPT или PNPT как базовый сертификат
- Портфолио на GitHub: write-up’ы и полезные скрипты
- Подготовка или сдача OSCP
[ИЗОБРАЖЕНИЕ: дорожная карта на временной шкале]
Сертификаты: что реально работает и почему
eJPT (eLearnSecurity Junior Penetration Tester): стартовый сертификат, основан на практике. Недорогой, экзамен — практически ориентированные задачи.
PNPT (Practical Network Penetration Tester, TCM Security): пятидневный практический экзамен + защита отчёта. Высокая прикладная ценность.
CPTS (Hack The Box): практический экзамен, покрывающий инфраструктурный пентест и AD.
OSCP (Offensive Security Certified Professional): признан международным стандартом. 24-часовой экзамен с задачей на компрометацию нескольких машин.
Сертификаты помогают пройти фильтр резюме, но собеседования всегда требуют развернутых технических объяснений. Готовьтесь отвечать на вопросы по механике атак, практическим примерам, анализу кода и сетевых сценариев.
То, что часто не говорят прямо
- Опыт на стороне защиты — ценный актив. Работа в SOC или аналитика защищённости даёт понимание, как защищаются системы, что видно в логах, как работают EDR/SIEM. Это ускоряет становление как пентестера.
- Слепая зависимость от инструментов — ловушка. Скрипты и фреймворки бесполезны без понимания механизмов. Там, где не сработал автоматический эксплойт — решают же аналитические навыки.
- Пишите write-up’ы даже для себя. Это заставляет структурировать полученные знания и облегчает повторное использование техник на других задачах.
- Навыки CTF ≠ навыкам пентеста. CTF зачастую — красивые, технически однозначные задачи. Реальные инфраструктуры неприглядные, с кучей багов и нелогичных конфигураций. Понадобятся оба типа практики.
- Не бойтесь смежных стартовых позиций. Часто первая работа называется «аналитик SOC» или «инженер по защищённости». Важно наличие доступа к системам и коллегам-практикам.
- Специализацию выбирайте раньше, чем кажется правильным. Веб-пентест, инфраструктурные атаки, облачные технологии — очень разные миры. Глубина в одном из них более ценна, чем поверхностное знание всех.
Что читать, смотреть и исследовать
- IppSec (YouTube): разборы HTB-машин с фокусом на объяснении логики поиска уязвимостей.
- TCM Security Courses: практические видеокурсы для начинающих (Practical Ethical Hacking, Practical Active Directory Pentesting).
- “Hacking: The Art of Exploitation” — Джон Эриксон: требовательная, но фундаментальная книга о принципах эксплуатации.
- “The Web Application Hacker’s Handbook”: глубокий разбор веб-уязвимостей — несмотря на возраст, до сих пор актуальный источник.
- Официальная документация инструментов (Impacket, BloodHound, Metasploit): малочитаемая, но крайне полезная для глубокого разбора.
#кибербезопасность #информационнаябезопасность #пентест #инфобез #хакеры #защитаданных #программирование #IT #кибератака #безопасностьсети #киберриски #безопасностьIT #разработка #образование #кодинг