Семь из десяти корпоративных сетей, которые я тестировал за последний год, были скомпрометированы в первые 48 часов. Каждая атака начиналась с терминала Linux. Не потому что это «хакерская ОС из кино», а потому что именно здесь цепочка от
nmap -sS до secretsdump.py выстраивается без единого графического клика - полный контроль и полная автоматизация. Русскоязычные ресурсы годами пересказывают сравнения Kali и Parrot, но практик-пентестер оперирует не дистрибутивом, а конкретными инструментами и техниками на каждом этапе kill chain. Перед вами - карта всего, что нужно для работы: от первого скана до закрепления в инфраструктуре.| Этап kill chain | Что внутри | Подробный разбор |
|---|---|---|
| Разведка и сканирование | nmap, masscan, amass, theHarvester | Сетевая разведка из Linux: nmap, masscan, netcat и tcpdump |
| Сканирование для новичков | Первые шаги с nmap, интерпретация вывода | Сканирование сети Nmap для начинающих |
| Повышение привилегий | LinPEAS, LinEnum, ручные проверки sudo/SUID | Повышение привилегий Linux через LinPEAS, LinEnum и ручные техники |
| Privilege escalation | Пошаговый путь от шелла до root | Повышение привилегий Linux: от первого шелла до root |
| Персистенс и закрепление | cron, systemd, SSH-ключи, LD_PRELOAD | Техники закрепления в Linux |
| Обход защит | syscall evasion, io_uring, eBPF | Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки |
Дистрибутив для пентеста в 2026 году: Kali, Parrot или BlackArch
Споры о «лучшем дистрибутиве для хакера» не утихают, но опытному пентестеру они напоминают дискуссию автомехаников о цвете ящика для инструментов. Дистрибутив - среда доставки инструментов, не больше. Но выбор всё-таки влияет на скорость развёртывания и совместимость с учебными материалами.Kali Linux - промышленный стандарт. Разрабатывается OffSec (те самые, кто стоит за OSCP, OSEP и OSED). Около 600 инструментов в стандартном метапакете
kali-linux-default (kali-linux-large добавляет ещё ~150, kali-linux-everything объединяет всё), ежеквартальные релизы на базе Debian, готовые образы для VM, Docker, WSL и ARM. В последних версиях меню инструментов структурировано по категориям MITRE ATT&CK, а поддержка Wayland улучшила изоляцию приложений. 99% обучающих материалов написаны под Kali - и это главный аргумент, если вы начинаете пентест с нуля.Parrot Security OS - главный конкурент, который сознательно проектировался не только для тестирования на проникновение, но и для защиты приватности. Базируется на стабильной ветке Debian (в отличие от тестовой у Kali; актуальная серия - 6.x на Debian 12 Bookworm), включает Tor и Anonsurf из коробки, жрёт меньше ресурсов. По заявлениям разработчиков, в новых версиях планируется включение инструментов для аудита ИИ-систем (статус версии 7.1 на базе Debian 13 Trixie стоит уточнять на parrotsec.org). Один из немногих пентест-дистрибутивов с полноценной Home-редакцией для повседневного использования.
BlackArch Linux - это не столько дистрибутив, сколько гигантский репозиторий на базе Arch. Более 2850 утилит (по другим данным - за 3700 перевалило), rolling release, минимальное потребление ресурсов - около 330 МБ RAM в простое. Порог входа высокий: нет графического установщика, документация лаконична. Оптимальный подход - добавить репозиторий BlackArch поверх существующего Arch одной командой.
| Критерий | Kali Linux | Parrot Security | BlackArch |
|---|---|---|---|
| База | Debian (testing) | Debian 12 Bookworm (stable) | Arch Linux |
| Инструментов | ~600 (метапакет default) | несколько сотен (зависит от редакции) | 2900+ в репозитории |
| Системные требования | 8 ГБ RAM рекомендовано | 4 ГБ (рекомендовано 8) | 330 МБ RAM в простое |
| Для повседневной ОС | Нет (не рекомендуется OffSec) | Да (Home-редакция) | Да (если знаете Arch) |
| Обучающие материалы | Максимум в отрасли | Растущее сообщество | Минимальная документация |
| Сертификации | OSCP/OSEP привязаны | Нет привязки | Нет привязки |
Вот что советую я: если начинаете с нуля - берите Kali. Если уже работаете и хотите один дистрибутив для всего - Parrot Home + Security. Если нужен конкретный инструмент, которого нет в Kali - подключайте репозиторий BlackArch к вашему Arch.
Разведка в пентесте: от пассивного OSINT до сканирования 65535 портов
Разведка - этап, который определяет успех или провал всего теста. По классификации MITRE ATT&CK это T1595.002 - Vulnerability Scanning на этапе reconnaissance и T1046 - Network Service Discovery на этапе discovery. Пропустите разведку - будете стучаться в запертую дверь, когда окно рядом открыто настежь.Пассивная разведка: OSINT без единого пакета к цели
Перед тем как отправить хоть один пакет в сторону цели, пентестер собирает открытую информацию. Инструменты для пассивной разведки в Linux:amass enum -passive -d target.com выгружает поддомены из Certificate Transparency логов и публичных DNS-записей; subfinder делает то же самое через десятки API-источников; theHarvester собирает email-адреса, поддомены и имена сотрудников из поисковых систем и LinkedIn. Утилита gau вытаскивает исторические URL и параметры из Wayback Machine - часто в них обнаруживаются забытые эндпоинты с уязвимыми параметрами.Всё это работает без единого подключения к целевой инфраструктуре. Ноль следов в логах.
Активное сканирование: nmap, masscan и их связка
Когда пассивная фаза завершена - переходим к активному сканированию. Два ключевых инструмента для пентеста Linux:masscan для быстрого обнаружения открытых портов на больших диапазонах (до сотен тысяч пакетов в секунду на стандартном Linux-стеке, до миллионов pps при использовании PF_RING) и nmap для детального определения сервисов и версий. Типичная связка: сначала masscan --rate 10000 -p0-65535 для широкого охвата, затем nmap -sV -sC -O по конкретным хостам для глубокого анализа. Команда nmap -sS -sV -O -p- --min-rate 5000 --open - рабочий компромисс между скоростью и детальностью для средних сетей.httpx из набора ProjectDiscovery быстро определяет живые HTTP-сервисы среди найденных хостов, отображая статус-коды, заголовки и используемые технологии. Для веб-перечисления - feroxbuster или gobuster с кастомными словарями.Практические сценарии сетевой разведки, включая работу с
netcat и tcpdump, детально разобраны в отдельном гайде: Сетевая разведка из Linux: nmap, masscan, netcat и tcpdump - практические сценарии для пентеста.Если только начинаете работу с сетевым сканированием - вот пошаговое руководство: Сканирование сети Nmap для начинающих: от первого запуска до интерпретации результатов.
Эксплуатация уязвимостей Linux: от обнаружения к захвату
Разведка выявила открытые порты, версии сервисов и потенциальные точки входа - начинается фаза эксплуатации. Именно здесь Linux для пентестера раскрывается на полную: большинство exploitation-фреймворков писалось под Unix-среду и работает тут нативно.Metasploit Framework: ядро арсенала
Metasploit - самый известный фреймворк для эксплуатации уязвимостей, предустановлен в Kali Linux. Консольmsfconsole - основной интерфейс: поиск эксплойтов через search, настройка параметров через set RHOSTS и set PAYLOAD, запуск через exploit. Библиотека содержит тысячи модулей для различных сервисов и ОС. Meterpreter-сессия после успешной эксплуатации открывает доступ к файловой системе, снятию дампов памяти, поднятию привилегий и перенаправлению трафика.Но главная ценность Metasploit для практика - не сами эксплойты (их можно найти на Exploit-DB), а инфраструктура доставки: обработка сессий, маршрутизация через скомпрометированные хосты, автоматизация пост-эксплуатации через resource-скрипты. На одном проекте мы подняли через resource-скрипт цепочку из четырёх pivot-хостов за 15 минут - руками это заняло бы полдня.
Веб-эксплуатация: sqlmap и Burp Suite
Для тестирования веб-приложений - два инструмента, без которых никуда.sqlmap автоматизирует обнаружение и эксплуатацию SQL-инъекций - от определения типа СУБД до выгрузки данных и получения shell через OS-команды. Типичный запуск: sqlmap -u "https://target/page?id=1" --dbs --batch для перечисления баз данных. Для обхода WAF подключаются tamper-скрипты: --tamper=space2comment,between,randomcase. Согласно OWASP Top 10, инъекции (A03:2021 - Injection) остаются одной из самых критичных категорий уязвимостей веб-приложений.Burp Suite - перехватывающий прокси, через который можно модифицировать каждый запрос между браузером и сервером. Через него тестируются BOLA/IDOR (по классификации OWASP API Security Top 10, API1:2023), broken authentication, SSRF и бизнес-логические ошибки, которые автоматические сканеры пропускают. Я ловил через Burp такие IDOR-ки, которые ни один автоматический сканер за неделю не нашёл бы.
Ручная эксплуатация: когда фреймворки не хватает
Автоматические инструменты находят известные уязвимости, но пропускают логические ошибки, нестандартные конфигурации и цепочки из нескольких незначительных недостатков. Опытный пентестер комбинируетcurl для ручного тестирования API-эндпоинтов, nuclei с кастомными шаблонами для массовой проверки специфических уязвимостей и Python-скрипты для эксплуатации нетривиальных сценариев. Именно в ручной работе проявляется разница между «прогнали сканер» и настоящим пентестом.Повышение привилегий Linux: 6 векторов от user до root
Получив первоначальный доступ (обычно с правами непривилегированного пользователя или сервисного аккаунта), пентестер переходит к privilege escalation - повышению привилегий до root. По MITRE ATT&CK это техники T1068 - Exploitation for Privilege Escalation и T1548.003 - Sudo and Sudo Caching. Этот этап - один из самых насыщенных в работе red team Linux-специалиста.Чеклист основных векторов
| Вектор | Что проверяем | Команда/инструмент |
|---|---|---|
| SUID/SGID-бинарники | Файлы с setuid-битом, которые запускаются от root | find / -perm -4000 -type f 2>/dev/null |
| Ошибки конфигурации sudo | Разрешения NOPASSWD, подстановочные символы | sudo -l |
| Задачи cron от root | Скрипты, запускаемые по расписанию с повышенными правами | cat /etc/crontab, ls -la /etc/cron.d/ |
| Capabilities | Расширенные привилегии файлов вне SUID | getcap -r / 2>/dev/null |
| Ядро (kernel exploits) | Устаревшее ядро с известными CVE | uname -r, затем searchsploit |
| Docker/LXD | Членство пользователя в группе docker | id, проверка docker в группах |
GTFOBins (gtfobins.github.io) - каталог стандартных Unix-бинарников, которые можно злоупотребить для повышения привилегий, обхода ограничений или чтения файлов. Например,
find с SUID-битом даёт shell через find . -exec /bin/sh -p \; -quit, а docker из-под непривилегированного пользователя позволяет примонтировать корневую файловую систему хоста. Это не уязвимости - это штатные функции, используемые не по назначению. На бумаге — «безопасно», в реальности — эскалация до root.Автоматизация разведки на этапе privesc:
LinPEAS и LinEnum - два скрипта, которые за минуту проверяют десятки потенциальных векторов и подсвечивают находки цветовой маркировкой. LinPEAS активно поддерживается в рамках проекта PEASS-ng, LinEnum проще и быстрее, но менее детален. На практике я запускаю оба: LinPEAS для полноты картины, LinEnum - когда нужно минимизировать шум в системе.Подробный разбор всех техник с конкретными примерами: Повышение привилегий Linux: от первичной разведки до root через LinPEAS, LinEnum и ручные техники и Повышение привилегий Linux: пошаговое руководство от первого шелла до root.
Пост-эксплуатация Linux: credential dumping, lateral movement и персистенс
Получение root - не конец пентеста, а начало его второй половины. Пост-эксплуатация Linux идёт в трёх направлениях: сбор учётных данных, горизонтальное перемещение по сети и закрепление для сохранения доступа.
Сбор учётных данных
Техника T1003.008 - /etc/passwd and /etc/shadow - первое, что проверяется на скомпрометированном Linux-хосте. Если/etc/shadow доступен, хеши паролей отправляются на офлайн-перебор через hashcat или john. В корпоративных средах с Linux-хостами, интегрированными в Active Directory, более ценными становятся кеши Kerberos-тикетов и файлы keytab. secretsdump.py из Impacket при наличии валидных учётных данных Windows-администратора вытаскивает хеши из удалённых Windows-хостов через DCSync/SAM/LSA, используя Linux-машину как плацдарм.На практике я часто нахожу вещи попроще: SSH-ключи без пароля в
~/.ssh/, токены API в .bash_history или .env файлах, пароли открытым текстом в конфигурациях приложений (/var/www/, /opt/). Команда grep -rli 'password\|passwd\|token\|secret' /etc/ /opt/ /var/ 2>/dev/null - грубый, но рабочий стартовый фильтр. На одном проекте именно так нашли AWS-ключи в .env - дальше рассказывать не надо.Lateral movement: горизонтальное перемещение
Скомпрометированный Linux-хост в корпоративной сети - плацдарм для атаки на соседние системы. SSH с украденными ключами или паролями - самый тихий способ перемещения. Для атаки на Windows-сегмент из Linux подключаются инструменты Impacket:psexec.py, wmiexec.py, smbexec.py выполняют команды на Windows-хостах через SMB, не требуя RDP-сессии. BloodHound с коллектором SharpHound (или его Python-аналогом BloodHound.py - pip install bloodhound для legacy BloodHound 4.x; для BloodHound CE используйте bloodhound-ce-python) картографирует пути атаки в Active Directory, визуализируя путь от текущего пользователя до Domain Admin.Закрепление в системе
Персистенс - повторный доступ после перезагрузки или обнаружения. Техника T1059.004 - Unix Shell (определена MITRE для Linux и macOS; тесты Atomic Red Team для T1059.004 покрывают Linux и macOS, тесты родительской T1059 - преимущественно Windows) часто используется для создания бэкдоров: задачи cron с реверс-шеллом, сервисы systemd с автозапуском, авторизованные SSH-ключи в~/.ssh/authorized_keys. Более продвинутые методы - подмена разделяемых библиотек через LD_PRELOAD и модификация PAM-модулей для перехвата паролей.Все техники с примерами конфигурации и описанием способов обнаружения: Техники закрепления в Linux: cron, systemd, SSH-ключи, LD_PRELOAD и rootkits на практике.
Обход EDR и защитных механизмов Linux: почему antivirus - не граница
Корпоративные Linux-серверы всё чаще обвешаны EDR-агентами, и этичный хакинг Linux в 2026 году невозможен без понимания техник уклонения. Если на хосте сидит Falco, CrowdStrike Falcon или Elastic Defend - стандартныйbash -i >& /dev/tcp/... спалится за секунды.Process Injection в Linux-контексте реализуется через
ptrace (T1055.008), LD_PRELOAD (T1574.006) и инъекцию через /proc/pid/mem (T1055.009). Примечание: тесты Atomic Red Team для родительской T1055 покрывают Windows; Linux-специфичны именно суб-техники T1055.008 и T1055.009. Техника T1070.003 - Clear Command History - базовая антифорензика: unset HISTFILE, history -c, перенаправление .bash_history в /dev/null.Более хитрые подходы: уклонение на уровне системных вызовов (syscall evasion), когда вместо стандартных
execve и connect, за которыми следит EDR, используются альтернативные механизмы ядра. Подсистема io_uring позволяет выполнять файловые и сетевые операции без генерации традиционных syscall-событий. eBPF, изначально созданный для наблюдения, превращается в инструмент атаки - вредоносные eBPF-программы могут скрывать процессы, перехватывать данные и обходить правила мониторинга.Оговорка, которую нельзя игнорировать: эффективность техник обхода зависит от конкретной версии EDR и конфигурации ядра. Что работает против одного продукта - бесполезно против другого. Актуальные техники syscall evasion, атаки через io_uring и eBPF разобраны в отдельном материале: Обход EDR Linux: syscall evasion, io_uring и eBPF-атаки для пентестеров.
Автоматизация пентеста Linux: bash-скрипты и Python-обёртки, которые экономят часы
Команды Linux для хакера - это не только разовые запуски nmap и sqlmap. Настоящая эффективность достигается через автоматизацию повторяющихся действий. Bash-скрипты для пентеста превращают рутину в воспроизводимый пайплайн.Зачем автоматизировать
На типичном пентесте внешнего периметра нужно: собрать поддомены из нескольких источников, проверить живые хосты, просканировать порты, определить технологии, запустить nuclei-шаблоны - и всё это для десятков или сотен целей. Вручную - день. Скриптом - 20 минут и чашка кофе.Практический паттерн: обёртка для разведки
Bash:
#!/bin/bash
set -euo pipefail
# recon_pipeline.sh - автоматизация первичной разведки
DOMAIN=$1
OUT="recon_${DOMAIN}"
mkdir -p "$OUT"
subfinder -d "$DOMAIN" -silent -all > "$OUT/subs.txt"
amass enum -passive -d "$DOMAIN" >> "$OUT/subs.txt"
sort -u "$OUT/subs.txt" -o "$OUT/subs.txt"
cat "$OUT/subs.txt" | httpx -silent -status-code -title \
-tech-detect -o "$OUT/live.txt"
# Извлекаем хосты из вывода httpx для передачи в nmap
awk '{print $1}' "$OUT/live.txt" | sed 's|https\?://||' | cut -d/ -f1 | sort -u > "$OUT/live_hosts.txt"
nmap -sV -sC -iL "$OUT/live_hosts.txt" -oA "$OUT/nmap_detail"
echo "[+] Разведка $DOMAIN завершена: $(wc -l < "$OUT/subs.txt") поддоменов"gau для исторических URL, nuclei для автоматической проверки шаблонов уязвимостей, и отправку результатов в Slack через webhook.Python для сложных сценариев
Когда bash не хватает - подключается Python. Impacket целиком написан на Python и предоставляет программный доступ к протоколам SMB, LDAP, Kerberos. Кастомные скрипты на его основе - стандартная практика для автоматизации lateral movement в Active Directory из Linux-среды. Для веб-тестированияrequests + BeautifulSoup позволяют быстро накидать скрипт перебора параметров или эксплуатации BOLA-уязвимостей. Для взаимодействия с Metasploit существует MSFRPC API, через который можно программно управлять сессиями.Принципы автоматизации пентеста Linux
Три правила, которые я выработал за годы:- Логируй всё. Каждый скрипт пишет вывод в файл с таймстемпом - это и отчётность, и возможность вернуться к промежуточным результатам
- Не подавляй ошибки.
set -euo pipefailв начале каждого bash-скрипта: пусть лучше упадёт, чем тихо пропустит цель - Параметризуй. Скоуп пентеста всегда разный - хардкод IP-адресов и доменов в скриптах гарантирует проблемы уже на следующем проекте
MITRE ATT&CK для Linux: карта техник на каждом этапе пентеста
MITRE ATT&CK - не абстрактная матрица для красивых отчётов. Для пентестера это и язык отчётности перед заказчиком, и основа для проверки покрытия тестирования. Маппинг инструментов для пентеста Linux на конкретные техники ATT&CK - обязательная часть профессиональной работы.| Этап | Техника ATT&CK | ID | Типичные инструменты Linux |
|---|---|---|---|
| Разведка | Vulnerability Scanning | T1595.002 | nmap, masscan, nuclei |
| Обнаружение | Network Service Discovery | T1046 | nmap -sV, netcat |
| Выполнение | Unix Shell | T1059.004 | bash, sh, python |
| Повышение привилегий | Exploitation for Privilege Escalation | T1068 | kernel exploits, LinPEAS |
| Повышение привилегий | Sudo and Sudo Caching | T1548.003 | sudo -l, GTFOBins |
| Credential Access | /etc/passwd and /etc/shadow | T1003.008 | hashcat, john, unshadow |
| Defense Evasion | Ptrace System Calls / Proc Memory | T1055.008, T1055.009 | ptrace, LD_PRELOAD (тесты Atomic Red Team для родительской T1055 покрывают Windows; суб-техники .008/.009 определены MITRE для Linux) |
| Defense Evasion | Clear Command History | T1070.003 | unset HISTFILE (T1070.003 определена MITRE для Linux/macOS; тесты Atomic Red Team для родительской T1070 покрывают только Windows) |
Эта таблица - отправная точка. В реальном пентесте каждое действие маппится на конкретную технику, а отчёт строится по фреймворку: что было сделано, какая техника использовалась, какой результат получен, как обнаружить и защититься. Заказчики, работающие по NIST Cybersecurity Framework, ожидают именно такой формат - с привязкой к категориям Identify, Protect, Detect, Respond, Recover.
CTF-площадки и обучение: где прокачать навыки этичного хакинга в Linux
Пентест невозможно выучить по книгам. CTF Linux-инструменты проверяются на практике - на площадках, где можно ломать легально.Где тренироваться
| Площадка | Формат | Для кого |
|---|---|---|
| Hack The Box | Виртуальные машины с реалистичными уязвимостями | Средний и продвинутый уровень |
| TryHackMe | Пошаговые комнаты с подсказками | Начинающие и средний уровень |
| OverTheWire (Bandit) | Wargames через SSH, чистый Linux | Освоение командной строки Linux |
| VulnHub | Скачиваемые VM для офлайн-практики | Все уровни |
| PentesterLab | Упражнения по веб-эксплуатации с пояснениями | Веб-пентест |
| CyberDefenders | Blue team challenge'ы | Понимание стороны защиты |
OverTheWire Bandit - обязательный стартовый пункт: серия задач, решаемых исключительно через SSH, тренирует именно те команды Linux для хакера, которые составляют повседневную рутину:
grep, find, sort, xxd, работа с правами и перенаправлениями. После такой практики можно спокойно переходить к Hack The Box.Сертификации
Для формализации навыков offensive security Linux: OSCP (Offensive Security Certified Professional) - де-факто стандарт отрасли, экзамен проходится на Kali Linux; eJPT (Junior Penetration Tester от INE) - более мягкий входной билет; PNPT (Practical Network Penetration Tester от TCM Security) - фокус на практическое тестирование сетей. Все три требуют работы из Linux-среды, решения задач на реальных машинах и написания профессионального отчёта.Куда движется пентест из Linux: взгляд практика
Offensive security Linux меняется быстрее, чем обновляются учебные материалы. Три тренда, которые определят следующий год.Первый - ИИ в арсенале атакующего. ParrotOS уже включает инструменты для тестирования LLM-систем, и это не маркетинг: prompt injection и атаки на RAG-пайплайны - реальные вектора, которые пентестеры начинают проверять у заказчиков. Linux остаётся платформой, откуда удобнее всего дёргать API моделей через
curl и Python-скрипты.Второй - EDR-агенты для Linux перестали быть формальностью. Falco, Elastic Defend, CrowdStrike Falcon активно мониторят syscall-уровень. Стандартные техники из учебников 2020 года обнаруживаются мгновенно. Пентестеру нужно разбираться в eBPF, io_uring и механике ядра - не для написания эксплойтов нулевого дня, а для грамотного уклонения от детекции в рамках согласованного теста.
Третий - облака как основная цель. AWS, Azure и GCP - это Linux-среды по умолчанию.
pacu (фреймворк эксплуатации AWS), az cli для Azure и gcloud запускаются из того же терминала, что и nmap. Пентестер, не умеющий проверить доступность метаданных через curl http://169.254.169.254/latest/meta-data/ с компрометированного хоста, теряет критический вектор атаки.Дистрибутив - отправная точка, но навык пентестера определяется не количеством предустановленных инструментов, а умением выстраивать цепочку атаки от первого скана до отчёта. Linux даёт полный контроль над каждым звеном этой цепочки - если знать, какие звенья существуют.
Если хотите выстроить путь в offensive security системно - на площадке Codeby есть курсы, где эти техники отрабатываются на реальных стендах под руководством практикующих пентестеров.
Вопрос к читателям
У каждого пентестера есть свой «швейцарский нож» — скрипт, алиас или обёртка, автоматизирующие часть kill chain и ставшие обязательными в работе. Мой - bash-пайплайн, объединяющий subfinder, httpx и nuclei в одну команду для первичной разведки периметра. Расскажите в комментариях: какой самописный инструмент или обёртку вы написали для пентеста и в какой момент поняли, что без неё уже не можете работать?Вложения
Последнее редактирование модератором:
