• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Школа Курс WAPT от Codeby. Мои впечатления и переживания во время прохождения курса

WAPT.png

Приветствую вас, форумчане. Хочу коротенечко поделиться с вами своими впечатлениями о прохождении курса WAPT. На данный момент экзамен успешно сдан, на душе чувство полного удовлетворения и покоя. Отмечу, что, записываясь на курс WAPT, я не имел ни малейшего представления с чем мне придётся столкнуться и уж тем более никогда не имел дело с пентестом, но желание научиться «крутить сайты» исходило из далёкого студенчества. Я не ожидал, что будет легко и первым камнем преткновения для меня стал пассивный фаззинг! А если конкретнее, то задание, где необходимо было найти “соседей”, связанных с компьютерной игрой! Сейчас я уже не вспомню сколько я мучился, но точно помню, как я себя материл за свою невнимательность и примитивное мышление!!! Конечно, это не единственная тема, которая ввела меня в ступор. Были и SQLi, и XSS, которые доставили кучу неудобств и бессонных ночей. Благодаря практическим заданиям, а их было более 60, и своему упорству, мне удалось разобраться в представленных в курсе темах и успешно сдать экзамен. Практика на курсе мне прямо ОЧЕНЬ понравились! Создатели подошли к этому вопросу с особым цинизмом и юмором (кто проходил курс, тот меня поймёт;) ) Жаль, что подобный юмор не всех устраивает и комментарии в тасках пофиксят уже в весеннем потоке 2022! Честно скажу, что особый интерес представляли задания повышенной сложности. Вот где реально нужно было сломать свою голову и в корне менять мышление! Да, где-то это были CTF и возникали вопросы: "ЧТО КУРИЛ АВТОР???!!!!" Но это было поистине интересно и порой раздражающе одновременно. Первый месяц приходилось спать по 3 часа в сутки, вникать в материал, чтобы не отставать от основного потока. Фраза «Try Harder ….» стала своего рода мантрой!!!:ROFLMAO:

В целом хочу отметить, что потраченные на курс деньги себя полностью оправдали. Методические пособия подготовлены грамотно, нет лишней воды, много современных подходов. Курс даёт базовые знания с НУЛЯ! Всё остальное зависит только от вашего стремления и желания развиваться в этой сфере деятельности. В ходе обучения вам ПРИДЁТСЯ изучать дополнительные материалы самостоятельно. В поисках этого материала помогают и всезнающий Google, и опытные кураторы. Если кто-то считает, что за оплаченный курс с вами будут носиться как с маленьким ребёнком и вдалбливать в вас знания, то лучше проходите мимо и не тратьте свои деньги и чужие нервы.

Несколько слов о поддержке. Кураторы все терпеливые, могут долго и упорно пытаться вывести вас на правильный вектор либо советами, либо ссылками на материал, который необходимо изучить, чтобы добиться решения того или иного таска. Отдельно хочу поблагодарить куратора под ником UrfinJuice за то, что был терпелив к моим бесконечным вопросам, за то, что делился своими личными знаниями, опытом, и можно сказать направил на путь дальнейшего моего развития!!! Большое человеческое спасибо Вам! Так вот… В начале курса была создана группа в телеге, где предполагалось обсуждение каких-то общих организационных вопросов, обратная связь с кураторами, в случае возникновения трудностей с нахождением вектора и вопросов связанных с техническими проблемами на тачках. Такие проблемы реально были. Когда 40 человек одновременно фаззят бедный сервак в течение 2-5 часов, заряжая при этом 2-4 приложения по 100-200 потоков каждое - тут ни что не выдержит. И админы хорошо справлялись. На моей памяти 3-4 раза ребутили таски даже в 3 часа ночи. Всегда можно было написать в общую группу клич о помощи, и свободные кураторы отзывались. Дальнейшее общение, по возникшей проблеме, продолжалось уже за «стенами» ЛС. Но, как я уже говорил, этот курс предполагает, что вы склонны к самообучению и никто из админов не даст ни малейшего намека на вектор, если увидит, что вы просто ленитесь самостоятельно что-то сделать. На прямые ответы вообще наложено ТАБУ. Кажется после новогодних праздников, в уже устоявшийся алгоритм поддержи, вмешался WAPT_bot. Организаторы курса обязали всех пользоваться этим чудом инженерной мысли для связи с кураторами. Задумка может быть и хорошая, но исполнение точно хромает! Ответа от кураторов приходилось ждать сутки, а то и двое! Самое смешное – это когда по истечению двух суток вопрос был уже не актуален и при закрытии тикета чудо бот просил оценить качество обслуживания! :ROFLMAO::ROFLMAO::ROFLMAO: К счастью эту функцию вскоре удалили. Я не пытаюсь критиковать чью-то разработку, ведь коллизии в таких вещах дело абсолютно нормальное. Оптимизация процессов — это вещь хорошая, но с ботом общение получилось совсем обезличенным, что было крайне неприятно. ИМХО. Не многие кураторы стали подписываться при общении с учениками. Я верю и надеюсь, что его скоро допилят и он начнет приносить пользу, а не потраченные нервы учеников, да и возможно кураторов.

Экзамен. Признаюсь честно. Экзамена я боялся как огня! Мне кажется, что я так не волновался даже при защите диплома в универе. Главными требования успешной сдачи экзамена было набор определённого количества баллов и решение тасков без инструментов автоматической эксплуатации уязвимостей. Metasploit к запрещённым инструментам не относился. Готовиться к экзамену я начал через пару дней после закрытия последнего практического задания. Проходя свои райтапы я уже иначе смотрел на возможные пути реализации вектора, пытался не только достать флаг, но и получить привеск. Это сильно облегчило мне задачу на самом экзамене. Кураторы советовали обязательно выспаться и отдохнуть перед экзаменом, но по закону подлости, у меня даже близко не вышло воспользоваться этим советом. И вот, 12 марта в 10:00 по МСК стартанул экзамен. Меня колбасило от волнения и недосыпа. К проходному минимуму я приблизился примерно за 5 часов. Необходимо было решить один таск повышенной сложности и всё – экзамен в кармане! Покрутив приложение и поняв, что там что-то не так, я взял первый hint. Я даже не удивлен был увидеть CVE. И тут начался мой личный АД!!! Первой проблемой для меня стало отсутствие «белого» IP. Как оказалось, реверсы c утилитой ngrok работают хорошо, а вот Metasploit упорно отказывался заводить хэндлер. Точно не могу сказать с чем это было связано с моими кривыми руками или с ngrok. Поэтому, если кто-то будет проходить экзамен WAPT, не скупитесь и возьмите себе «белый» IP. Через 5 часов я бросил тщетные попытки подружить Metasploit с ngrok и принялся решать следующий таск. Аутентификацию я обошел за пару минут, а вот с привеском я промучился очень долго. К сожалению, не могу озвучить суть проблемы, дабы не оставлять спойлеров. К часу ночи, когда уже было выпито две банки энергетика, я всё-таки взял этот привеск и выпил свои «призовые» 50 грамм вискаря, которые выдыхались в бокале уже около 8 часов:ROFLMAO::ROFLMAO::ROFLMAO:. Потом ещё 50 грамм… И ещё чуть-чуть :giggle: Открылось второе дыхание, и к 7 утра были решены последние два таска повышенной сложности. Оставалось 2 базовых задания, которые, я так и не смог решить, хотя вектор вроде был выбран правильный… Не доглядел где-то... Бывает… Секрет этих тасков, наверное, ещё долго будет меня мучить… :( Ну а в целом экзамен показался мне достаточно простым, хоть и просидел я за ним 23 часа не вставая...

В завершение, хочу ещё раз поблагодарить команду Codeby за курс! На самом деле я очень рад, что выбрал именно этот ресурс и очень надеюсь, что в дальнейшем вы будете продолжать работать на качество, а не на массовый охват рынка!
С нетерпением жду курса по AD!

Пожелания:
- ДОПИЛИТЕ ПОЖАЛУЙСТА БОТА!!!
- Добавьте в привеск таск за 100, а то тема кажется неполноценной, не хватает экшена!:LOL:


 
Последнее редактирование модератором:

Paladin

Администратор
10.10.2021
96
431
BIT
420
Отличная статья. Автору респект за художественное описание своих сомнений и переживаний. Поздравляю с успешной сдачей экзамена! Ну вот, ещё один человек вошёл в историю, как полноценный выпускник. Живой пример того, что терпение и трудолюбие компенсируют отсутствие каких-то базовых знаний. Все приобретается трудом. Без этого никуда.
 

BAO

Red Team
11.09.2019
69
56
BIT
22
Отличная статья. Автору респект за художественное описание своих сомнений и переживаний. Поздравляю с успешной сдачей экзамена! Ну вот, ещё один человек вошёл в историю, как полноценный выпускник. Живой пример того, что терпение и трудолюбие компенсируют отсутствие каких-то базовых знаний. Все приобретается трудом. Без этого никуда.
спасибо!🤝
 

Chekist_

Green Team
16.04.2017
21
3
BIT
5
Такие статьи являются отличным мотиватором и для тех, кто проходит другие курсы. Отличный слог, красиво бы оформить еще, так вообще сказка будет. Мое почтение
 
  • Нравится
Реакции: BAO

BAO

Red Team
11.09.2019
69
56
BIT
22
Такие статьи являются отличным мотиватором и для тех, кто проходит другие курсы. Отличный слог, красиво бы оформить еще, так вообще сказка будет. Мое почтение
Спасибо, за добрые слова и прошу прощения за оформление) Обязательно учту!)
 

shKiev

Заблокирован
16.11.2021
21
11
BIT
0
Спасибо, почитал тебя и теперь не пойду спать, пойду учиться, вдохновил и есть *искра и уже закипает чайник.
И да, слово даю, что как только все устаканится, пойду учиться к ребятам из Codeby, я ваще от вас тащусь. Еще раз спасибо за впечатление.
 

Вложения

  • IMG_20220315_140205_024.jpg
    IMG_20220315_140205_024.jpg
    60,8 КБ · Просмотры: 114
  • Нравится
Реакции: BAO
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!