Хакерские курсы от меня. Предварительное обсуждение.

Что стоит, эта ночь без сна?))))

 

А на официальных курсах так и делают. И что любопытно - в самом начале они начинают со сбора данных, не юзают ничего особого.
С одной стороны оно вроде-бы и логично, но тут не только в логике дело. Тут дело в том что это не сложно сделать. Когда начнется сложно
и не интересно - одепты начнут разбегаться. А так - они какое-то время пообучаются, и обезьянка заплатит не за один месяц курсов а за два хотя-бы

 

А почему любопытно? Любой пентест начинается с разведки, и я тебе так скажу, разведка зачастую делает 50% дела, бывает все 90%. Вот как пример, на днях я тестил один ресурс, ничего не нашел, потом начал брутить поддомены и нашел тестовый домен где было зеркало основного ресурса, но с одним отличием, обновы на него не актуальные, там лежал скрипт годовалой давности в котором была бага. Вот тебе и сбор информации на 100% успеха. И вообще почему-то новички спешат сразу изучать "крутые/сложные" вещи и считают что базовые моменты как разведка скучно и не эффективно.

Ну тут смотря с какой стороны посмотреть, задача вступительных курсов научить основам и задать направление а вот как раз задача учащегося это самому дойти до того уровня когда ты сложные задачи сможешь начать решать сам. Не факт что ты их решишь, не факт что их решит гуру 100го лвла, но важно чтоб ты понимал что нужно делать и как делать, в какую сторону копать а не тупо совать кавычку а потом импортировать реквест в скульмап. База играет большую роль.
Если же вы считаете что вы знаете хорошо базу и даже больше, то зачем вам курсы от "рандомов" если есть курсы от OFFSEC: https://www.offsec.com/courses/pen-300/ всего то 2500$ и у тебя сертификат международного значения. Там как раз практикуют сложные тихники которых вам очень нехватает.
У меня-то совсем другая история, я бы хотел собрать своё небольшое комьюнити из абсолютных новичков, дать им базу, вместе проходить практические задания в формате CTF ну и в дальнейшем проводить какие либо ресерч работы для создания своего портфолио для дальнейшего перехода на уровень выше. У меня задумка большая, глобальная и я понимаю что в одиночку сделать все что я задумал очень сложно и нужно реально много времени. Так что скорей всего мой курс и не стартанет, но основную задачу данная тема выполнила, собрала мнения и показала интерес публики, точнее его отсутствие.

Вобщем время покажет как оно будет, это идея была навеяна восспоминаниями о былом античате, а сейчас когда у меня на глазах форум умирает просто есть желание создать альтернативу и вернуть былые времена в новом формате капиталистического настоящего.

 

Чтобы кто-то заинтересовался (а особенно в большом количестве) - неплохо-бы дать им профит. Какой-то хотя-бы.
Взять уязвимый вордпресс, сообщить как нагуглить жертву, выдать несколько скриптов шеллов, заставить самих модернизировать. И как итог у хомячка появится свой собцтвенный,
блестящий и красивый шелл где-то. Там можно VPN поднять, можно что-то потестить... Какбэ уже неплохо. Может быть озадачить их лайками в ютубике и все в таком духе.

Просто так - нахрена оно им надо лезть в дебри сесурити - если можно кое-как научиться формошлепить и пошел по порядку по компаниям... Фронтенд девелопер туды его в коромысло.
Вопрос есть в том, как этих вот одептов применить для добычи шекеля. Тут да, надо подумать А то как-то тоже неправильно. Учишь-учишь а сам без пива сидишь

 

лолшто блять))

 

Я в бородатые времена начинал с этого сайта, + помню находил сайт на юкозе с уроками, уроков 15 было, один из них был, надо было на страничке админки в исходном коде взять логин и пароль) Золотые времена были)

А так, ну вот я захожу на античат в поисках шабашек(по кодингу) в основном, и вот твоя тема(про wp sql) первая за последнее время, которая профильная, а все остальное один флуд.

Согласен с капитализмом. Безопасность - это дохрена знаний по кодингу, работе ос, устройству веба и тп. Большая целеустремленность, усидчивость и творческое мышление. Хобби не для всех так сказать. И самое главное, что потом с этим багажем знаний делать? Кодером? так только основы изучаешь. Багхантинг? Ну там в основном кто первый акунетикс запустил, тот и заработал. Мотивации что-то маловато.

Я думаю тут нужно брать подход с арбитраников, вот они эволюционировали(так сказать), создают команды, бесплатно обучают, чтобы новички работали в команде, попробуй и ты что-то придумать подобное! Затея хорошая, просто нужно адаптировать под нынешние реалии.

 

В киберсеке трудоустройство сложный вопрос, потому как рабочих мест полно, но требуют высокий уровень. Если хочешь зарабатывать с низким/средним уровнем знаний - это блэкхэт. Хекать шопики) Такому я точно не хочу содействовать, поэтому трудоустройство должен каждый себе сам обеспечить и определиться в жизни кем он хочет быть. Может быть фрилансером реально найти заказы по пентесту, не пробовал)
Вобще обучаться пентесту мативируя это все финансово как по мне изначально хреновая затея. Когда я начинал, я это делал из интереса, а заказы сами пришли. Ну вот как то так последние 20 лет я живу с этого.
Можно конечно организовать свою преступную группировку хакеров и перехекать все шопики мира, написать десяток 0деев и попасть в список "разыскиваются ФБР" но уже не те времена и не тот возраст) Мне хочется спокойной старости))) Взять молодняк, ввести в курс дела чтоб они после меня пошли на OSCP сдавать и потом устроились в корп за приличные деньги, на такую подготовку нужно год/два.

 

Щто вас удивляет ?

Ну во-первых кто-то должен их фиксить от детекта авером. Никто не будет этого делать и выкладывать на паблик каждый день чтобы оно работало пол-часа.
Соотвессно заливаемый шелл должен быть видоизменен. Проблем особых тут никаких особо нет, оно делается и автоматом. И палится тоже легко в итоге.
В идеале - даешь пример, показываешь саму идею как его писать.

Во-вторых если выдавать паблик - то хрен с ним. Выдавать что-то свое, чтобы оно спалилось где-нибудь где не надо - не годится. Значит нужен паблик. Есть неплохие
скрипты из паблика... но неплохие это не хорошие. Соотвессно хочешь - не хочешь а накидать что-то свое всегда пригодится. Надо это делать ? Надо.

Чтобы спрятать лишний скрипт можно использовать мейнстримный метод. Создать файл, переименовать, бла-бла. Если ты можешь его залить. Но "find ./ -ctime -1" - найдет этот скрипт как
ты его не перименовывай. Уже надо подумать о том чтобы изменить время. Чисто для примера. Вопрос еще в том кто следит за скриптами, но даже беспалевный файл уже
вызывает подозрения если кто-то этим занимался. Потому лучше его встроить куда-то. В идеале в бд, если поместится, запихнуть в данные. И максимально беспалевно сделать
к нему доступ, желательно без модификации в фс.

Надо знать как это делается ? Надо. Сам шелл должен быть изменен и по возможности переписан.

Вот какбэ и лолшто. Если им просто дать файлик и сказать "заливаешЪ на сервер, ломишься на него и радуешься" - то... какбэ радоваться придется не долго.
До первого подозрения.

===================
Ну потому что эти все "охеренные методы" которые тебе расписывают в разных книжках как дернуть скрипт из метасплоита, сгенерировать автоматически копию сайта и все в таком
духе - это даже не смешно.

 

Или это вотхет имеется ввиду ? Тогда пожалуй наверное и лол но... Кхм. Никто не любит войтехтов

 

Ну во первых мы тут про обучение говорим а не про то как спрятать веб-шелл.
Во вторых веб-шеллы никто адекватный не юзает)
В третих веб-шелы можно юзать но нельзя оставлять на сервере, только на время использования здесь и сейчас.

А вот техники как закрепиться в системе, это уже от ситуации/прав и от выдумки зависит. Можно и систему перенастроить, если прав хватает (root/admin) и пересобрать какой софт, добавить в планировщик и еще вагон способов. Но это все не относиться к пентесту, это уже больше блэкхэт движуха.

вот для таких случаев нужно учитывать папку где ты собираешься создавать новый файл, например cache там в зависимости от приложения в день могут создаваться сотни файлов и твой затеряется. Ну и самый идеальный вариант не создавать новый файл.

 

Вопрос и был в закреплении. Вопрос в понятиях, т.ч. не принципиально. Адекватные может и не юзают, а неадекватные еще как Зависит от целей.
Если тебе надо просто небольшая админка чтобы прописывать рекламу или пофиксить частоту ее показа, чтобы хозяину тоже что-то перепадало - зашел
и сделал. Минута делов. Шелл в общем случае не особо нужен но время от времени может пригодиться. Беспалевно, тихо, мирно.

Оно понятно что кто-то берет числом. В итоге ресурс с кучей посетителей просто засерается жабоскриптами. Есессно через 3 часа его пофиксят. Потом они
будут жаловаться что денег нет, надо идти в войтхет. Шекель какой-нибудь выпросить. А хозяин ресурса пофиксить - пофиксит а шекель нетушь, самому нужен

Собссно говоря тоже вполне вероятная причина: отсутствие особого интереса. Зачем мудиться если можно формошлепить фронтенды.

 

Проблема технаря наглядно) Пока мы учились кодингу, безопасности и тп, другие учились зарабатывать деньги! Если ты серьезно настроен продавать курсы, то тебе стоит поработать с ценностью для покупателей, но я бы конечно на твоем месте лучше бы тогда смотрел в сторону своей инфосек фирмы, у тебя же опыт есть, знаешь как устроенна кухня, думаю проблем было бы меньше чем с курсами.

 

Крайне не хотел отвечать в подобной теме, но зацепило прям:

Поразительно-ужасающее восприятие общественных взаимоотношений людей только в одном этом предложении. По крайне мере для меня!
Да уж, всё-таки древнеегипетское жречество создало выдающуюся концепцию устройства общества, если даже через тысячи лет в умах людей такой подход к жизни воспринимается ими как норма.
Оставлю здесь ссылку на курс лекций человека, который действительно был настоящим специалистом в вычислительной технике, и программировал ещё в ноликах и единичках. https://www.youtube.com/playlist?list=PL5AF02155FCE5110A
Может у кого-то и начнёт мозаика в голове складываться, вместо калейдоскопа. А может и нет.

P. S.
Я когда университет закончил, пытался устроится на работу, то принцип в целом был такой:
- Без досвіду не беремо.
- А де брати досвід, якщо тільки закінчив навчальний заклад?
- Це не наше турбота, у нас демократія, ринкова економіка, кого хочемо того і беремо, ми ж не в якомусь там "совке" живемо.

 

Да это во всем мире так, тут не от совка или гарварда что-то зависит, больше от того как сам себя умеешь предоставить. В таких случаях харизма решает, потому как на "практику" уйдет ну допустим год, и потом компания имеет квалифицированного спеца в штате, главное только потом его удержать контрактом чтоб отбил "начальные вложения" и дал прибыль. Это как отборочный этап, кто ответит "ну ладно" тех отсеят. Ну и конечно же не везде можно себя уболтать принять) Это понятное дело.

Меня вот только одно смущает, тема про курсы, про обучение а обсуждают бабки) Вы че народ з глузду з'їхали)

 

Элементарно. Обучающий всегда имеет какой-то профит. Если кто-то обучает тебя сесурити - то в первую очередь интересна цена и количество обучаемых.
Ибо он тратит на это свое время. Т.е. этим зарабатывает.

Вопрос: почему он этим зарабатывает - напрашивается сам собой

Как же тут без бабла обсуждать...

 

Ну для меня профит с курсов и идеологический и финансовый) Плата за курс как стимуляция к работе. Свое сообщество с которым в дальнейшем можно решать какие либо таски, обмениваться опытом. Да и в целом было бы неплохо внести свой какойто вклад, если оно даст профит его же можно развивать дальше и больше, вплоть до реальной своей "академии" по типу как на Юдэми есть курсы среднего уровня но от них тоже есть польза, развитие всемирного комньюнити, привлечение все больше людей к данный отрасли. Чем больше взломщиков тем больше безопасников. Прогресс, эволюция)) Но для старта нужно хотя бы человек 10 заинтересовавшихся, иначе нет особого смысла потратить уйму времени на 2-3 человека. На данный момент заинтересовалось аж ДВА)

 

Тут еще не маловажный фактор для меня что будет с форумом, если Миша даст движение то хорошо, если нет - тогда нужно будет как то в свои руки брать эту ношу))

 

Ну можно попробовать топик поднять в теме для нубов. В болталке-то они не особо тусуются вроде. Тут пьяные дядьки ходят
время от времени, какие-то странные личности. Хрестозы опять же, сыны, норкоманы и другая нечисть

Какбэ это же надо уже быть почти сесурити, иметь крепкие нервы чтобы они не сдали например

 

Это предварительная тема, ей место как раз тут в болталке) Я не спешу давать обещаний и брать обязаности на себя) По первому посту должно было быть видно) тема НА ЛОХА расчитана)))))

Эх жальа статы у меня нет, интересно сколько новых пользователей в сутки прибывает.

 

В комбинации разведка+пощуп+крутые/сложные фичи в рыбалке на зрелого кита, довольно хороший и большой профит дает=big_up or lvl_up, кому как... Вот только понимание и затраты на всё это внимание единично кто ясно и отчётливо осознает...