• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Школа КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ) - ЧАСТЬ 4

Paladin

Администратор
10.10.2021
96
431
BIT
421
1644078324279.png


Форумчане, привет!

Вот и подходит к концу мой цикл статей о том, как я прохожу курс WAPT. Учеба практически завершена. Задачи, по-моему, уже закончились, но немного теории впереди еще будет. Финальной статьей будет описание, как я буду сдавать экзамен, но до этого еще не меньше месяца. Кто пропустил начало этой чудесной истории просмотрите статьи КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ), КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ) - ЧАСТЬ 2, КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ) - ЧАСТЬ 3

Прежде, чем я продолжу, я хочу повторить, что моя писанина ни в коем случае не является рекламой и уж тем более попыткой злобных конкурентов уничтожить авторитет и заслуги команды Codeby посредством очернения их трудов. Я не являюсь членом команды Codeby и всего лишь делюсь своим мнением, впечатлениями и переживаниями. Мои высказывания могут кому-то не понравиться, но честно говоря, мне на это по…, короче все равно. Недавно в одном из Telegram-каналов натолкнулся на высказывание некоего организма о том, что мол курс WAPT – говно и зря потраченные деньги. Спрашиваю: «Что не понравилось?», говорит: «Все». Я говорю: «Ну все же не может не понравится, должно же что-то произвести приятные впечатления», отвечает: «Все не понравилось, нет положительных моментов, курс бестолковый, в Инете лучше есть». Опять спрашиваю: «Окончил?», ответ: «Нет», говорю: «Что помешало?», молчит, сказать не чего. Ну, думаю, или один из обиженных, который не смог ничего показать, либо обычный провокатор, которому просто захотелось какой-то негатив внести. По факту оказалось, что к курсу он не имеет никакого отношения. Вывод: не надо делать высказываний, не попробовав. Ни один человек, который закончил этот курс, прошел весь путь до конца (или не до конца) не бросит камень в сторону организаторов и разработчиков. Если человек хотел что-то получить, он получил, а если пришел номер отбыть и думает, что за уплаченные бабки в него будут запихивать знания глубоко ошибается.​

Для начала хочу сказать одну вещь, мне многое нравиться в этом курсе и есть вещи которые мне не очень нравятся.

Среди того что нравится:
  • теоретическая часть курса;
  • видеоуроки;
  • практические задания;
  • общение с коллегами по цеху;
  • помощь кураторов;
  • отличная организация со стороны руководства;
  • видеоконференции;
  • есть еще несколько пунктов.
Среди того, что не нравится:
  • новая система общения с кураторами посредством бота;
  • из-за этого задержки реагирования преподов на задаваемые вопросы;
  • мало сплю и практически забросил работу.
Все это – мое личное мнение. Кто-то из моих сокурсников согласится с этим, кто-то нет. Но могу сказать точно, и в чем все меня железобетонно поддержат в том, что этот курс реально классный и полезный. Он стоит тех денег, потраченного времени, нервов и сил. Знания, полученные здесь не пропадают даром, все складывается в голове по полочкам. Конечно, что-то можно забыть (для предотвращения этого и существуют собственные записи и пометки). Не забывается одно – та боль и потраченные нервы, которые каким-то образом заставляют неосознанно выводить наружу тот опыт, который ты приобрел в процессе обучения. Вы можете не поверить, но я научился думать во сне (главное, чтобы это не переросло в шизофрению), я практически не задумываюсь в начале задания, что нужно сделать в первую очередь, а о потом, все происходит автоматически. Бывает так, что вроде все попробовал, а не получается. На этот случай всегда есть друзья, которые тебя поддержат и помогут. А самое главное – не пропадает никуда желание разобраться до конца и, при этом проштудировать кучу литературы на чужом языке и не ложиться спать, пока ты это не сделаешь (зараза!!!!!)

Кто читал все мои статьи могут заметить, что первые были написаны в легком и юморном стиле, а чем ближе к концу, тем более грустные и с философским оттенком. Я вам больше скажу, я стал злобным, агрессивным и нелюдимым существом, которое посылает всех коллег по работе на … (в общем вам по пояс будет), абсолютно не улыбается самому себе в зеркале и уж тем более окружающим. При этом я, благодаря новым полученным знаниям и навыкам, поставил углом всех айтишников на работе за то, что они бездельники и ни хрена не смыслят в информационной безопасности. Короче, есть минусы и есть плюсы. Если вы готовы к этому, обязательно должны пройти этот курс.

Теперь, по традиции перейду к описанию тем, которые мне доставили массу удовольствия и неудовольствия.​

Misconfiguration

Интересный цикл задач, основанный на ошибках конфигурации программного обеспечения. В целом тема не доставила каких-то особых проблем. Было не сложнее и не легче, чем в других направлениях курса WAPT. В общем обычный и интересный середнячок. Честно говоря, не верится, что такие ошибки могут совершаться программистами, но, если верить разработчикам курса, то все таски основаны на реальных событиях. Короче, было бы интересно получить такую задачу в практике.​

Пост-эксплуатация

Задачи этого типа появились одновременно с Клиентскими атаками и по сути завершают цикл практического обучения. Я должен был написать о них в конце, но решил Клиентские атаки оставить на закуску. Так вот, по сути, пост-эксплуатация – это задачи на повышение привилегий уже после проникновения в систему и закрепление в ней. С этой темой я сталкивался в ходе обучения на курсах в Pentestit, знал ее и, более того, мне это очень нравится. Поэтому не ожидал от этих заданий какого-то подвоха. Разница оказалась в том, что проникновение в систему осуществлялось через уязвимое веб-приложение, а не через VPN или SSH. В реальности я думал, что знаю достаточно в этом направлении. По факту, я реально стал знать еще больше. Во истину, нет предела нашим знаниям. Никогда бы не подумал, что некоторые команды системы Linux, которые предназначены для совершенно элементарных и безобидных целей могут привести к получению полного root-доступа. Данное открытие привело меня к мысли, что по окончании курсов нужно вернуться к азам и подойти к этому вопросу более осмысленно. Короче интересная тема и требует постоянного совершенствования.​

Клиентские атаки

Скажу честно, я с ужасом ожидал встречи с этой темой –XSS. Во-первых, я абсолютно не понимал физику процесса. Немного зная теорию, я предполагал, что для совершения атак нужна жертва, которая среагирует на твои действия, но как это будет организовано в учебном процессе, даже подумать не мог. Когда открылись таски и появился доступ к материалам, кинулся читать методичку и имевшиеся в наличии материалы. Не понял ни хрена. Ну, думаю, ВСЕ, ПРИПЛЫЛИ. Самое смешное, что часть решения первых двух задач были рассмотрены в методических материалах, но вот дойти до полного решения я не мог в течении первых суток. Такого за весь курс не было ни разу. Данная тема отняла столько нервов, что было желание бросить всю затею к чертям (прикиньте, и это в конце обучения!!!). Про остальные задачи я не буду рассказывать, они все сложные, неприятные и малопонятные. Остановлюсь на одной – Test for master. Это задача всего лишь на 75 баллов, хотя по моей болевой шкале тянет на 200. Я до настоящего момента так и не смог решить ее по тому сценарию, который задумывался разработчиками. С помощью ребят из команды Bulba Hackers (Анатолия и Дмитрия) удалось выйти на незапланированный вектор атаки и взять флаг. Но осталось чувство неудовлетворенности. Сейчас я все-таки планирую заняться этой задачей. Но повторюсь, тема – жесть!!!!!

Вот в общем то и все, о чем я хотел вам поведать. Приступаю к подготовке к экзаменам. Для этого надо перерешать все задачи заново, попробовать найти другие пути их решения. Должно получиться. Надеюсь не слишком вас утомил своим нытьем. Увидимся после экзамена.​
 
Последнее редактирование:

BAO

Red Team
11.09.2019
69
56
BIT
22
Посмотреть вложение 56767

Форумчане, привет!

Вот и подходит к концу мой цикл статей о том, как я прохожу курс WAPT. Учеба практически завершена. Задачи, по-моему, уже закончились, но немного теории впереди еще будет. Финальной статьей будет описание, как я буду сдавать экзамен, но до этого еще не меньше месяца. Кто пропустил начало этой чудесной истории просмотрите статьи КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ), КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ) - ЧАСТЬ 2, КАК Я ПРОХОЖУ КУРС WAPT (КВЕСТ В РЕАЛЬНОМ ВРЕМЕНИ) - ЧАСТЬ 3

Прежде, чем я продолжу, я хочу повторить, что моя писанина ни в коем случае не является рекламой и уж тем более попыткой злобных конкурентов уничтожить авторитет и заслуги команды Codeby посредством очернения их трудов. Я не являюсь членом команды Codeby и всего лишь делюсь своим мнением, впечатлениями и переживаниями. Мои высказывания могут кому-то не понравиться, но честно говоря, мне на это по…, короче все равно. Недавно в одном из Telegram-каналов натолкнулся на высказывание некоего организма о том, что мол курс WAPT – говно и зря потраченные деньги. Спрашиваю: «Что не понравилось?», говорит: «Все». Я говорю: «Ну все же не может не понравится, должно же что-то произвести приятные впечатления», отвечает: «Все не понравилось, нет положительных моментов, курс бестолковый, в Инете лучше есть». Опять спрашиваю: «Окончил?», ответ: «Нет», говорю: «Что помешало?», молчит, сказать не чего. Ну, думаю, или один из обиженных, который не смог ничего показать, либо обычный провокатор, которому просто захотелось какой-то негатив внести. По факту оказалось, что к курсу он не имеет никакого отношения. Вывод: не надо делать высказываний, не попробовав. Ни один человек, который закончил этот курс, прошел весь путь до конца (или не до конца) не бросит камень в сторону организаторов и разработчиков. Если человек хотел что-то получить, он получил, а если пришел номер отбыть и думает, что за уплаченные бабки в него будут запихивать знания глубоко ошибается.​

Для начала хочу сказать одну вещь, мне многое нравиться в этом курсе и есть вещи которые мне не очень нравятся.

Среди того что нравится:
  • теоретическая часть курса;
  • видеоуроки;
  • практические задания;
  • общение с коллегами по цеху;
  • помощь кураторов;
  • отличная организация со стороны руководства;
  • видеоконференции;
  • есть еще несколько пунктов.
Среди того, что не нравится:
  • новая система общения с кураторами посредством бота;
  • из-за этого задержки реагирования преподов на задаваемые вопросы;
  • мало сплю и практически забросил работу.
Все это – мое личное мнение. Кто-то из моих сокурсников согласится с этим, кто-то нет. Но могу сказать точно, и в чем все меня железобетонно поддержат в том, что этот курс реально классный и полезный. Он стоит тех денег, потраченного времени, нервов и сил. Знания, полученные здесь не пропадают даром, все складывается в голове по полочкам. Конечно, что-то можно забыть (для предотвращения этого и существуют собственные записи и пометки). Не забывается одно – та боль и потраченные нервы, которые каким-то образом заставляют неосознанно выводить наружу тот опыт, который ты приобрел в процессе обучения. Вы можете не поверить, но я научился думать во сне (главное, чтобы это не переросло в шизофрению), я практически не задумываюсь в начале задания, что нужно сделать в первую очередь, а о потом, все происходит автоматически. Бывает так, что вроде все попробовал, а не получается. На этот случай всегда есть друзья, которые тебя поддержат и помогут. А самое главное – не пропадает никуда желание разобраться до конца и, при этом проштудировать кучу литературы на чужом языке и не ложиться спать, пока ты это не сделаешь (зараза!!!!!)

Кто читал все мои статьи могут заметить, что первые были написаны в легком и юморном стиле, а чем ближе к концу, тем более грустные и с философским оттенком. Я вам больше скажу, я стал злобным, агрессивным и нелюдимым существом, которое посылает всех коллег по работе на … (в общем вам по пояс будет), абсолютно не улыбается самому себе в зеркале и уж тем более окружающим. При этом я, благодаря новым полученным знаниям и навыкам, поставил углом всех айтишников на работе за то, что они бездельники и ни хрена не смыслят в информационной безопасности. Короче, есть минусы и есть плюсы. Если вы готовы к этому, обязательно должны пройти этот курс.

Теперь, по традиции перейду к описанию тем, которые мне доставили массу удовольствия и неудовольствия.​

Misconfiguration

Интересный цикл задач, основанный на ошибках конфигурации программного обеспечения. В целом тема не доставила каких-то особых проблем. Было не сложнее и не легче, чем в других направлениях курса WAPT. В общем обычный и интересный середнячок. Честно говоря, не верится, что такие ошибки могут совершаться программистами, но, если верить разработчикам курса, то все таски основаны на реальных событиях. Короче, было бы интересно получить такую задачу в практике.​

Пост-эксплуатация

Задачи этого типа появились одновременно с Клиентскими атаками и по сути завершают цикл практического обучения. Я должен был написать о них в конце, но решил Клиентские атаки оставить на закуску. Так вот, по сути, пост-эксплуатация – это задачи на повышение привилегий уже после проникновения в систему и закрепление в ней. С этой темой я сталкивался в ходе обучения на курсах в Pentestit, знал ее и, более того, мне это очень нравится. Поэтому не ожидал от этих заданий какого-то подвоха. Разница оказалась в том, что проникновение в систему осуществлялось через уязвимое веб-приложение, а не через VPN или SSH. В реальности я думал, что знаю достаточно в этом направлении. По факту, я реально стал знать еще больше. Во истину, нет предела нашим знаниям. Никогда бы не подумал, что некоторые команды системы Linux, которые предназначены для совершенно элементарных и безобидных целей могут привести к получению полного root-доступа. Данное открытие привело меня к мысли, что по окончании курсов нужно вернуться к азам и подойти к этому вопросу более осмысленно. Короче интересная тема и требует постоянного совершенствования.​

Клиентские атаки

Скажу честно, я с ужасом ожидал встречи с этой темой –XSS. Во-первых, я абсолютно не понимал физику процесса. Немного зная теорию, я предполагал, что для совершения атак нужна жертва, которая среагирует на твои действия, но как это будет организовано в учебном процессе, даже подумать не мог. Когда открылись таски и появился доступ к материалам, кинулся читать методичку и имевшиеся в наличии материалы. Не понял ни хрена. Ну, думаю, ВСЕ, ПРИПЛЫЛИ. Самое смешное, что часть решения первых двух задач были рассмотрены в методических материалах, но вот дойти до полного решения я не мог в течении первых суток. Такого за весь курс не было ни разу. Данная тема отняла столько нервов, что было желание бросить всю затею к чертям (прикиньте, и это в конце обучения!!!). Про остальные задачи я не буду рассказывать, они все сложные, неприятные и малопонятные. Остановлюсь на одной – Test for master. Это задача всего лишь на 75 баллов, хотя по моей болевой шкале тянет на 200. Я до настоящего момента так и не смог решить ее по тому сценарию, который задумывался разработчиками. С помощью ребят из команды Bulba Hackers (Анатолия и Дмитрия) удалось выйти на незапланированный вектор атаки и взять флаг. Но осталось чувство неудовлетворенности. Сейчас я все-таки планирую заняться этой задачей. Но повторюсь, тема – жесть!!!!!

Вот в общем то и все, о чем я хотел вам поведать. Приступаю к подготовке к экзаменам. Для этого надо перерешать все задачи заново, попробовать найти другие пути их решения. Должно получиться. Надеюсь не слишком вас утомил своим нытьем. Увидимся после экзамена.​
Alex, жду статью, где будет рассказано об успешной сдаче экзаменационного испытания! Надеюсь, что к этому времени я тоже смогу с гордостью сказать: «Я СДАЛ!!!!» Ну а пока нужно навести порядок на своей малинке и готовиться к экзаменам. Удачи!
 

KTM

Green Team
05.01.2021
15
7
BIT
0
Не зря что не так много людей сдали экзамены и прошли до конца
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!