Три года назад я сидел перед терминалом Kali Linux и не понимал, почему Nmap не находит открытые порты на учебной машине. Оказалось, я сканировал не ту подсеть. Четыре часа. Четыре часа на ошибку, которую сейчас я бы увидел за десять секунд. Сегодня я провожу внешние и внутренние пентесты, ломаю Active Directory через
Ссылка скрыта от гостей
и пишу отчёты, за которые компании платят шестизначные суммы. Между этими двумя точками - конкретный путь, и я его опишу без воды и маркетинговых обещаний.Если вы ищете ответ на вопрос «как стать пентестером с нуля» - забудьте про абстрактные советы вроде «изучите Linux и сети». Я дам roadmap пентестера с конкретными инструментами, командами, чекпоинтами и сроками. Тот самый маршрут, который я хотел бы получить, когда начинал.
Чем на самом деле занимается пентестер
Прежде чем строить roadmap, разберёмся, что вы будете делать каждый день. Русскоязычные статьи обычно ограничиваются фразой «ищет уязвимости». Это примерно как сказать, что хирург «режет людей» - технически верно, но бесполезно.Пентестер проходит через цепочку атаки, которая в терминологии
Ссылка скрыта от гостей
выглядит так:- Разведка (Reconnaissance) - сбор информации о цели. Сканирование портов (Active Scanning: Scanning IP Blocks, T1595.001), поиск поддоменов, анализ публичных данных. Тут же - Vulnerability Scanning (T1595.002), когда натравливаешь специализированные сканеры на конкретные уязвимости.
- Получение доступа (Initial Access) - эксплуатация найденной уязвимости. SQL-инъекция в веб-форме, эксплойт на необновлённом сервисе - что угодно, лишь бы зацепиться. MITRE классифицирует это как Exploit Public-Facing Application (T1190, Initial Access).
- Повышение привилегий (Privilege Escalation) - вы зашли как обычный пользователь, а вам нужен root или SYSTEM. Exploitation for Privilege Escalation (T1068) - одна из ключевых техник на этом этапе.
- Дамп учётных данных (Credential Access) - извлечение паролей и хешей. OS Credential Dumping (T1003) - например, дамп SAM-базы Windows или вытаскивание хешей из lsass.
- Латеральное перемещение (Lateral Movement) - перемещение между машинами в сети.
Ссылка скрыта от гостей(T1550.002) в доменах Active Directory - техника, которая по MITRE ATT&CK относится одновременно к тактикам Defense Evasion и Lateral Movement, потому что позволяет аутентифицироваться без знания пароля в открытом виде.
- Отчёт - документирование всего, что нашли, с оценкой рисков и рекомендациями. Эту часть ненавидят все, но именно она приносит деньги.
Roadmap пентестера: от нуля до первой работы
Теперь - конкретный план. Я разбиваю его на фазы с чекпоинтами. Каждая фаза заканчивается проверяемым результатом: не можете выполнить чекпоинт - не переходите дальше. Без исключений.Фаза 1. Фундамент (месяцы 1-2)
Самая скучная часть, и именно здесь отсеиваются 80% желающих. Моя ошибка: я пропустил сети и сразу начал запускать Metasploit. Через месяц обнаружил, что не понимаю, почему эксплойт не пробивает NAT, и вернулся к основам. Потерял шесть недель впустую.Что изучать:
Сети. TCP/IP, DNS, DHCP, ARP, маршрутизация, подсети. Не на уровне «знаю, что такое IP-адрес», а на уровне «могу объяснить, почему ARP-спуфинг работает в пределах одного широковещательного домена». Для тех кто в танке - если не понимаете разницу между L2 и L3, все атаки на внутренние сети для вас будут магией.
Linux. Не просто установить Kali. Управление процессами, файловая система, права доступа, пользователи, systemd, работа с пакетным менеджером.
Проверьте себя - откройте терминал и выполните:
Bash:
# Посмотреть все прослушиваемые порты
ss -tlnp
# Найти все файлы с SUID-битом (потенциальный вектор privesc)
find / -perm -4000 -type f 2>/dev/null
# Посмотреть текущие iptables-правила
sudo iptables -L -n -vWindows. Active Directory, групповые политики, SMB, Kerberos. Большинство корпоративных сетей работает на Windows, и AD - ваш главный полигон на реальных проектах. Без этого - как идти на войну с водяным пистолетом.
Базовый скриптинг. Python и Bash. Не нужно писать веб-приложения - нужно уметь автоматизировать рутину.
Python:
# Пример: простой сканер портов на Python (для понимания концепции)
import socket
def scan_port(host, port):
try:
sock = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
sock.settimeout(1)
result = sock.connect_ex((host, port))
sock.close()
return result == 0
except socket.error:
return False
target = "10.10.10.1"
for port in [21, 22, 80, 443, 445, 3389, 8080]:
if scan_port(target, port):
print(f"[+] Port {port} is open on {target}")threading или asyncio.Чекпоинт фазы 1: Вы можете развернуть виртуальную сеть из двух машин (Kali + Metasploitable или аналог), просканировать её, объяснить результаты и написать Bash-скрипт, автоматизирующий повторяющуюся задачу.
Фаза 2. Offensive Security: основы атак (месяцы 3-5)
Здесь начинается самое интересное. Вы переходите от «я понимаю, как это работает» к «я понимаю, как это сломать».Веб-приложения. Начните с
Ссылка скрыта от гостей
- стандартный рейтинг наиболее критичных уязвимостей веб-приложений. SQL-инъекции, XSS, CSRF, IDOR, SSRF - каждую уязвимость нужно не просто знать в теории, а "потрогать" руками.Лучший бесплатный ресурс - PortSwigger Web Security Academy. Я прошёл все лабораторные за два месяца, решая по 2-3 задачи в день. Именно там я впервые по-настоящему разобрался, как работает Burp Suite - основной инструмент веб-пентестера. (Бесплатной Community-версии хватит за глаза на первом этапе.)
Сетевые атаки. SMB Relay, MITM, ARP-спуфинг, атаки на сетевые протоколы. Здесь понадобятся Responder и Impacket - набор Python-скриптов для работы с сетевыми протоколами Windows.
Повышение привилегий. На Linux - SUID-бинари (T1548.001, Setuid and Setgid), кривые cron-задания (T1053.003, Cron), writable PATH (T1574.007, Path Interception by PATH Environment Variable). На Windows - токены, сервисные аккаунты, незащищённые реестровые ключи. T1068 (Exploitation for Privilege Escalation) применим, когда эксплуатируется программная уязвимость, а не мисконфигурация.
Практический пример - разведка и начальная эксплуатация через Nmap и Metasploit:
Bash:
# Сканирование целевой машины - SYN-скан с определением версий сервисов
nmap -sS -sV -sC -O -p- 10.10.10.40 -oN full_scan.txt
# Результат покажет открытые порты и версии ПО
# Допустим, нашли порт 445 (SMB) с уязвимой версией
Bash:
# Запуск Metasploit и поиск эксплойта
msfconsole -q
# В консоли Metasploit:
# msf6 > search type:exploit name:ms17_010
# msf6 > use exploit/windows/smb/ms17_010_eternalblue
# msf6 exploit(windows/smb/ms17_010_eternalblue) > set RHOSTS 10.10.10.40
# msf6 exploit(windows/smb/ms17_010_eternalblue) > runЧекпоинт фазы 2: Вы решили минимум 20 машин на HackTheBox или TryHackMe уровня Easy-Medium. Вы можете объяснить цепочку атаки от разведки до получения root-флага.
Фаза 3. Специализация и Active Directory (месяцы 6-8)
Вот где большинство русскоязычных гайдов останавливаются. Расскажут про Nmap и SQL-инъекции, но не покажут, как атаковать доменную среду - а это 70% реальных пентестов во внутренних сетях.Active Directory - ваш главный полигон. Kerberoasting (T1558.003, Credential Access), Pass the Hash (T1550.002, Lateral Movement), AS-REP Roasting, DCSync - это не абстрактные термины из учебника. Это то, что вы будете делать на реальных проектах каждую неделю.
Пример атаки Kerberoasting с помощью Impacket:
Bash:
# Запрос TGS-тикетов для сервисных аккаунтов
# GetUserSPNs.py - скрипт из набора Impacket
python3 GetUserSPNs.py domain.local/user:password -dc-ip 10.10.10.1 -request
# Полученные хеши сохраняем в файл и ломаем через hashcat
hashcat -m 13100 kerberoast_hashes.txt /usr/share/wordlists/rockyou.txtВизуализация атак через BloodHound:
Bash:
# Сбор данных о домене через SharpHound (коллектор для BloodHound)
# Запуск с доменной машины:
SharpHound.exe -c All --zipfilename bloodhound_data.zip
# Импорт данных в BloodHound и поиск путей до Domain Admin
# BloodHound визуализирует графы доверия и покажет кратчайший путьОблачный пентестинг. По данным Wiz.io, облачное тестирование на проникновение стало базовым навыком, а не узкой специализацией. AWS, Azure, GCP - работодатели всё чаще ожидают, что пентестер умеет работать с IAM-политиками, S3-бакетами, Lambda-функциями. Хотите выделиться среди конкурентов - начните копать облачные атаки уже на этом этапе. По данным FrostGuard Security, спрос тут сильно превышает предложение.
Чекпоинт фазы 3: Вы развернули домашнюю лабораторию с Active Directory (контроллер домена + 2 рабочие станции) и отработали полный цикл атаки: разведка → Kerberoasting → lateral movement → DCSync → Domain Admin.
Инструменты пентестера: что реально используется на проектах
Русскоязычные гайды часто дают километровые списки инструментов без контекста. Вот таблица по этапам работы - чтобы было понятно, когда и зачем каждый инструмент нужен.| Этап атаки | Инструмент | Для чего | Приоритет изучения |
|---|---|---|---|
| Разведка | Nmap | Сканирование портов и сервисов | Первый инструмент, который нужно освоить |
| Разведка | Amass, subfinder | Поиск поддоменов | Средний |
| Веб-атаки | Burp Suite | Перехват и модификация HTTP-запросов | Обязательно для веб-пентеста |
| Веб-атаки | SQLMap | Автоматизация SQL-инъекций | После ручной эксплуатации |
| Эксплуатация | Metasploit | Фреймворк эксплойтов | Обязательно |
| Пароли | Hashcat, John the Ripper | Подбор паролей и хешей | Обязательно |
| AD-атаки | BloodHound | Визуализация путей атаки в AD | Обязательно для внутренних пентестов |
| AD-атаки | Impacket | Набор скриптов для протоколов Windows | Обязательно |
| AD-атаки | NetExec (nxc) | Автоматизация атак на AD (преемник CrackMapExec) | Высокий |
| Privesc | LinPEAS / WinPEAS | Автоматический поиск векторов повышения привилегий | Высокий |
| Трафик | Wireshark | Анализ сетевого трафика | Средний |
| Сети | Responder | Перехват хешей через LLMNR/NBT-NS | Высокий для внутренних сетей |
К чему я пришёл не сразу: не нужно учить все инструменты одновременно. На старте хватит связки Nmap + Burp Suite + Metasploit. Остальное добавляется по мере того, как вы сталкиваетесь с задачами, которые эти инструменты решают. Не наоборот.
Лаборатории для пентеста: где практиковаться легально
Обучение пентесту с нуля невозможно без практики, а практика на чужих системах без разрешения - это уголовная статья. Вот сравнение платформ, на которых я тренировался:| Платформа | Тип | Стоимость | Для кого | Что даёт |
|---|---|---|---|---|
| TryHackMe | Пошаговые лаборатории | Бесплатно / от $14/мес | Абсолютные новички | Гайды «за руку», структурированные пути обучения |
| HackTheBox | Реалистичные машины | Бесплатно / от $14/мес | Начинающие и продвинутые | Машины без подсказок, активное комьюнити |
| HackTheBox Academy | Курсы с практикой | Бесплатно / подписка | Все уровни | Структурированные курсы по темам |
| PortSwigger Academy | Веб-уязвимости | Бесплатно | Все, кто хочет в веб-пентест | Лучший ресурс по веб-безопасности, по данным OWASP |
| PentesterLab | Веб-приложения | Бесплатно / Pro | Средний уровень | Прогрессивная сложность задач |
| VulnHub | Скачиваемые VM | Бесплатно | Все уровни | Офлайн-практика на своём железе |
Мой рекомендованный порядок:
- TryHackMe - Pre-Security и Complete Beginner. Здесь вас ведут за руку. Не стесняйтесь этого - все через это прошли.
- PortSwigger Web Security Academy - параллельно с TryHackMe, для веб-направления.
- HackTheBox - переходите сюда, когда можете решить Easy-машины на TryHackMe без подсказок.
- Домашняя лаборатория - своя AD-инфраструктура для отработки внутренних атак.
Как развернуть домашнюю лабораторию для пентеста
Это то, чего нет почти ни в одной русскоязычной статье - а без домашней лабы вы не научитесь атаковать Active Directory. Никак.Сертификации: стратегия вместо коллекционирования
Сертификаты - болезненная тема. Одни говорят «без OSCP не возьмут», другие - «сертификаты бесполезны». Истина посередине, и она зависит от вашего этапа.| Сертификация | Уровень | Стоимость | Формат экзамена | Когда сдавать |
|---|---|---|---|---|
| eJPT (INE Security) | Начальный | ~$250 | Практический, 48 часов | После 3-4 месяцев обучения |
| CEH (EC-Council) | Начальный-средний | ~$1200 | Тест с вариантами ответов | Если требует работодатель |
| OSCP (OffSec) | Средний-продвинутый | ~$1749+ (Learn One) | Практический, 23:45 на эксплуатацию + 24 часа на отчёт | После 8-12 месяцев практики |
| CRTP (Altered Security) | Средний (AD-фокус) | ~$250 | Практический | Для специализации в AD |
Моя стратегия:
eJPT - первый. Он дешёвый, практический (не тест с вариантами ответов, а реальная атака в лаборатории) и даёт первую строчку в резюме. По данным INE Security, eJPT не требует предварительных сертификатов - только мотивацию и базовые знания. Я сдал его после четырёх месяцев обучения.
OSCP - когда реально готовы. По данным Wiz.io, OSCP остаётся наиболее признанной сертификацией для подтверждения практических навыков. Но не бросайтесь на него раньше времени. С 2023 года можно получить 10 бонусных баллов за выполнение AD set и лабораторных отчётов - это стратегически важный момент при подготовке. Я видел людей, которые покупали OSCP после месяца обучения - и проваливали экзамен три раза. Каждая попытка стоит денег и мотивации.
Избегайте коллекционирования. Три сертификата не делают вас в три раза привлекательнее. Один OSCP + портфолио из writeup-ов стоит больше, чем пять начальных сертификатов.
Обучение пентесту с нуля: ошибки, которые я совершил
Давайте сэкономим вам время на моих провалах.Ошибка 1: теория без практики. Три месяца я смотрел видеокурсы и читал книги. Когда сел за первую машину на HackTheBox - не смог сделать ничего. Вообще ничего. Теория без практики в пентесте бесполезна. Правило: на каждый час теории - два часа практики.
Ошибка 2: попытка выучить всё сразу. Сети, веб, мобильные, реверс-инжиниринг, малварь... Я пытался охватить всё и не углублялся нигде. FrostGuard Security в своём roadmap советует специализироваться рано - и я с этим согласен на 100%. Выберите направление (веб, инфраструктура, AD, облако) и станьте в нём сильным. Расширяться будете потом, уже на рабочем месте.
Ошибка 3: игнорирование софт-скиллов. Пентестер, который нашёл критическую уязвимость, но не смог объяснить её бизнесу - бесполезен для клиента. Отчёт - это продукт, за который платят. Я начал писать writeup-ы на каждую решённую машину - и навык отчётности вырос автоматически. Потренировавшись учебных машинах, вы будете готовы к настоящим отчётам.
Ошибка 4: страх перед Bug Bounty. Я думал, что «ещё не готов». Не всегда правда. Bug Bounty - это не соревнование экспертов. По данным Wiz.io, платформы вроде HackerOne и Bugcrowd дают легальную возможность получить реальный опыт с юридической защитой. Начинайте с программ с широким scope и низким конкурентным давлением.
Как попасть на первую работу: offensive security карьера
Вот реалистичная стратегия, а не «рассылайте резюме».Портфолио важнее резюме. Создайте блог или репозиторий на GitHub с writeup-ами по решённым машинам. По данным Wiz.io, нанимающие менеджеры часто не могут проверить заявленный опыт - и ищут осязаемые доказательства навыков. Несколько качественных, детальных разборов показывают ваш ход мысли лучше, чем десятки поверхностных.
Реалистичные точки входа. Первая работа - это не «Senior Red Team оператор». По данным нескольких EN-источников, типичные первые роли:
- Junior penetration tester
- SOC-аналитик с элементами пентеста
- Специалист по анализу защищённости
- Участник внутренней Red Team
Подготовка к собеседованию. Ожидайте:
- Технические задачи в формате CTF
- Вопросы по сценариям: «Вы получили shell на Linux-машине. Ваши действия?»
- Разбор вашего writeup-а или отчёта
- Вопросы по методологии (OWASP, PTES, MITRE ATT&CK)
С чего начать пентест прямо сейчас: чек-лист на первую неделю
Не откладывайте. Вот конкретные действия на ближайшие семь дней:День 1-2: Установите VirtualBox и Kali Linux. Пройдите модуль TryHackMe «Introduction to Cyber Security».
День 3-4: Зарегистрируйтесь на HackTheBox Academy. Начните бесплатный модуль «Linux Fundamentals». Параллельно откройте PortSwigger Web Security Academy и решите первые три лабораторных по SQL Injection.
День 5-6: Просканируйте свою локальную сеть (только свои устройства!) с помощью Nmap:
Bash:
# Обнаружение хостов в вашей подсети
nmap -sn 192.168.1.0/24
# Полное сканирование найденного хоста
nmap -sV -sC -p- 192.168.1.X -oN my_first_scan.txt
# Разберите каждую строку вывода - что означает каждый порт и сервисНавыки пентестера: итоговая карта компетенций
Чтобы систематизировать всё сказанное, вот матрица навыков с привязкой к MITRE ATT&CK:| Навык | Инструменты | MITRE ATT&CK тактика | Где тренировать |
|---|---|---|---|
| Сетевая разведка | Nmap, Masscan, Amass | Reconnaissance (T1595.001, T1595.002) | TryHackMe, HackTheBox |
| Веб-эксплуатация | Burp Suite, SQLMap | Initial Access (T1190) | PortSwigger Academy |
| Повышение привилегий | LinPEAS, WinPEAS | Privilege Escalation (T1548.001, T1053.003, T1574.007, T1574.010; T1068 - при эксплуатации software-уязвимостей) | HackTheBox, домашняя лаба |
| Дамп учётных данных | Mimikatz, Impacket | Credential Access (T1003) | Домашняя AD-лаба |
| Атаки на AD | BloodHound, NetExec (nxc) | Defense Evasion / Lateral Movement (T1550.002), Credential Access (T1558.003) | Домашняя AD-лаба, HTB ProLabs |
| Отчётность | Markdown, LibreOffice | - | Writeup-ы на каждую машину |
Это не полный список навыков пентестера - это минимально достаточный набор для первой работы. Облачный пентестинг, мобильные приложения, IoT, реверс-инжиниринг - всё это вы добавите, когда определитесь со специализацией.
Заключение
Путь от нуля до работающего пентестера занимает, по моему опыту, от 8 до 14 месяцев при наличии базового IT-бэкграунда (сисадминистрирование, разработка) и 3-4 часах ежедневной практики. Без IT-опыта закладывайте 12-24 месяца. Не от чтения статей - от решения машин, написания скриптов, ломания собственных лабораторий. Русскоязычный рынок offensive security растёт, компании нанимают, а конкуренция среди кандидатов ниже, чем в разработке.Самое сложное - начать и не бросить на третьей неделе, когда простая машина на TryHackMe не поддаётся. У меня таких моментов было десятки. Каждый из них - не провал, а точка, где вы реально растёте. Откройте терминал, запустите
nmap -sV -sC на свою учебную машину и сломайте её. Ваш roadmap пентестера начинается сейчас.
Последнее редактирование модератором:
