Сергей Попов
Администратор
- 30.12.2015
- 4 865
- 6 621
Содержание
- Реальный кейс: Junior → Middle Pentester за 6 месяцев
- CTF-экосистема 2025: где играть, сколько платят, как попасть
- Пошаговый Roadmap: от нуля до оффера
- ТОП-20 CTF-задач для портфолио пентестера
- Монетизация CTF-навыков: 5 путей к доходу
- Автоматизация и инструменты: ускоряем процесс в 10 раз
- Обучающие ресурсы: что читать/смотреть в 2025
- Чек-лист готовности к первому собеседованию на пентестера
- FAQ: Ответы на частые вопросы о переходе из CTF в пентест
- Заключение: Твой путь начинается с первого флага
Реальный кейс: Junior → Middle Pentester за 6 месяцев
Факты: В январе 2024 Александр работал системным администратором за 60к/месяц. В июле 2025 — Middle Penetration Tester в международной компании с зарплатой 180к + бонусы. Что изменилось? Систематическая практика CTF по 2 часа в день.Его путь в цифрах:
- 147 решённых CTF-задач на HackTheBox
- 23 место в Russian CTF Cup 2024
- 4 найденных CVE в open-source проектах
- 12 bug bounty выплат на общую сумму $8,400
- 3 job offer'а после 6 месяцев практики
CTF-экосистема 2025: где играть, сколько платят, как попасть
Платформы для старта и развития
Платформа | Уровень | Цена | Особенности | Путь к работе |
---|---|---|---|---|
HackTheBox | Medium-Hard | $14/мес | 200+ машин, сертификаты CPTS/CBBH | Работодатели смотрят рейтинг |
TryHackMe | Easy-Medium | $10/мес | Пошаговые learning paths | Идеально для начинающих |
PentesterLab | Medium | $20/мес | Фокус на веб-уязвимости | Подготовка к OSCP |
PortSwigger Academy | All levels | Бесплатно | Burp Suite + веб-безопасность | Must-have для веб-пентеста |
PicoCTF | Easy | Бесплатно | Образовательный формат | Для студентов и новичков |
Root-Me | All levels | Бесплатно | 400+ challenges | Европейское коммьюнити |
Командные CTF с призовыми фондами (2025)
ТОП-5 соревнований с максимальными призовыми:- DEF CON CTF — до $100,000 (август 2025)
- Google CTF — до $31,337 (июнь 2025)
- PlaidCTF — до $25,000 (апрель 2025)
- Real World CTF — до $50,000 (январь 2026)
- HITCON CTF — до $20,000 (декабрь 2025)
- RuCTF — крупнейший в СНГ, призовой фонд 1,5 млн руб
- CTFZone — международный уровень от BI.ZONE
- SPbCTF — студенческий формат с менторством
Пошаговый Roadmap: от нуля до оффера
Месяц 1-2: Фундамент
Цель: Решить 50 простых задач, освоить базовые инструментыПрактические задания недели:
Python:
# Week 1: Научись автоматизировать bruteforce
import requests
import string
def ctf_login_bruteforce(url, wordlist):
"""Базовый скрипт для CTF-задач на аутентификацию"""
for password in wordlist:
data = {'username': 'admin', 'password': password}
r = requests.post(url, data=data)
if 'flag{' in r.text:
return f"Password found: {password}"
return "Not found"
# Применение: 90% CTF-задач на веб требуют подобной автоматизации
- Linux CLI (минимум 50 команд наизусть)
- Python для автоматизации (requests, pwntools)
- Burp Suite Community (перехват и модификация запросов)
- Основы SQL-инъекций через DVWA
- [ ] 30+ решённых задач уровня Easy
- [ ] Настроен Kali Linux с кастомными скриптами
- [ ] Написано 5+ Python-скриптов для CTF
- [ ] Пройден learning path "Complete Beginner" на TryHackMe
Месяц 3-4: Специализация
Цель: Выбрать направление и углубитьсяВарианты специализации с реальными кейсами:
Web Application Security (70% вакансий)
Bash:
# Практика: Автоматизация поиска SSTI в CTF
ffuf -w payloads.txt -u "http://ctf.example.com/search?q=FUZZ" \
-mr "7\*7" -mc 200 | tee ssti_results.txt
# Реальное применение: Нашёл SSTI → $2000 на HackerOne
- OWASP Juice Shop — все 100 challenges
- WebGoat 8.0 — современные уязвимости
- Damn Vulnerable Web Application — классика
- bWAPP — 100+ багов для практики
C:
// Типичная CTF-задача на buffer overflow
#include <stdio.h>
#include <string.h>
void win() {
system("/bin/sh"); // Целевая функция
}
void vulnerable() {
char buffer[64];
gets(buffer); // Уязвимость
}
// Эксплуатация через pwntools:
// payload = b"A"*72 + p64(win_address)
- GDB/pwndbg для отладки
- Понимание stack/heap/format strings
- ROP chains и ret2libc
- Работа с checksec и защитами (ASLR, DEP, Canary)
Месяц 5-6: Реальные проекты
Цель: Портфолио из 10+ writeups и первые bug bountyЧек-лист подготовки к собеседованию:
- [ ] 10 качественных writeups на GitHub/личном блоге
- [ ] Профиль HackTheBox с 30+ owned machines
- [ ] 3+ CVE или acknowledged vulnerabilities
- [ ] Bug Bounty профиль с минимум 5 находками
- [ ] Участие в 3+ командных CTF (даже если не в топе)
- [ ] Свой набор скриптов на GitHub (покажет умение автоматизировать)
ТОП-20 CTF-задач для портфолио пентестера
Web Security (обязательные для веб-пентеста)
- SQL Injection to RCE
- Платформа: PortSwigger Labs
- Сложность: ★★★☆☆
- Что покажет: Понимание цепочек эксплуатации
- Реальное применение: 23% всех критических уязвимостей
- JWT Token Bypass
- Платформа: PentesterLab
- Сложность: ★★★★☆
- Что покажет: Знание современных механизмов аутентификации
- Инструменты: jwt_tool, Burp Extensions
- XXE to SSRF Chain
- Платформа: HackTheBox - BountyHunter
- Сложность: ★★★★☆
- Реальный кейс: AWS metadata leak → полный compromise
Network Penetration
- Active Directory Exploitation
- Платформа: HackTheBox - Forest
- Сложность: ★★★★★
- Критически важно для enterprise пентеста
- Инструменты: BloodHound, Impacket, Rubeus
- Kerberoasting Attack Chain
Код:# Реальный пример из CTF, применимый в 80% корпоративных сетей Rubeus.exe kerberoast /outfile:hashes.txt hashcat -m 13100 hashes.txt wordlist.txt # Результат: Domain Admin за 4 часа
Binary Exploitation
- Format String to Code Execution
- Платформа: pwnable.kr
- Почему важно: Встречается в IoT и embedded
- Средняя награда за такой баг: $5,000-$15,000
Криптография
- RSA Weak Keys Exploitation
Python:# CTF-задача, которая научит находить реальные проблемы from Crypto.Util.number import inverse, GCD def fermat_factorization(n): """Используется когда p и q близки""" x = int(n**0.5) + 1 while True: y2 = x**2 - n if y2 >= 0 and int(y2**0.5)**2 == y2: return x - int(y2**0.5), x + int(y2**0.5) x += 1
Монетизация CTF-навыков: 5 путей к доходу
1. Bug Bounty (фриланс-формат)
Реальные выплаты 2024-2025:- Начинающий (3-6 мес): $500-2,000/месяц
- Опытный (1-2 года): $5,000-15,000/месяц
- Эксперт (3+ года): $20,000-100,000/месяц
Платформа | Средняя выплата | Особенности |
---|---|---|
HackerOne | $1,900/баг | Крупнейшая, много программ |
Bugcrowd | $2,100/баг | Managed programs |
Intigriti | €1,500/баг | Европейские компании |
YesWeHack | €1,200/баг | Французская платформа |
2. Пентест-фриланс
Ставки на российском рынке (2025):- Веб-приложение: 50,000-150,000 руб/проект
- Мобильное приложение: 80,000-200,000 руб
- Инфраструктура: 100,000-500,000 руб
- Red Team: 300,000-1,500,000 руб
3. Корпоративный найм
Зарплаты в Москве (данные hh.ru, 2025):- Junior Pentester (0-1 год): 80,000-120,000 руб
- Middle Pentester (1-3 года): 150,000-250,000 руб
- Senior Pentester (3-5 лет): 250,000-400,000 руб
- Team Lead/Principal: 400,000-600,000 руб
4. Образовательный контент
- Курсы на Udemy/Stepik: $1,000-10,000/месяц пассивного дохода
- YouTube с CTF-разборами: 100-500к руб/месяц при 50k+ подписчиков
- Приватное менторство: 5,000-15,000 руб/час
5. Участие в платных CTF
Примеры заработка российских команд:- Bushwhackers: $180,000 за 2023 год
- C4T BuT S4D: $95,000 за 2023 год
- PPP (международная): $320,000 за 2023 год
Автоматизация и инструменты: ускоряем процесс в 10 раз
Базовый набор для CTF (2025)
Bash:
# Автоустановщик всех необходимых инструментов
#!/bin/bash
# ctf_setup.sh - запусти на свежей Kali/Ubuntu
# Основные инструменты
apt update && apt install -y \
nmap masscan gobuster ffuf sqlmap \
john hashcat hydra metasploit-framework \
burpsuite wireshark binwalk foremost \
gdb gdb-peda pwntools ropper \
python3-pip docker.io
# Python-библиотеки для CTF
pip3 install pwntools requests beautifulsoup4 \
pycryptodome z3-solver angr capstone \
jupyter notebook
# Дополнительные инструменты
git clone https://github.com/SecureAuthCorp/impacket
git clone https://github.com/danielmiessler/SecLists
git clone https://github.com/carlospolop/PEASS-ng
# Docker для изолированных CTF-окружений
docker pull kalilinux/kali-rolling
docker pull remnux/remnux-distro
Продвинутая автоматизация
Python:
# ctf_recon.py - универсальный разведчик для CTF
import subprocess
import concurrent.futures
from typing import List, Dict
class CTFRecon:
def __init__(self, target: str):
self.target = target
self.results = {}
def nmap_scan(self) -> Dict:
"""Полное сканирование портов"""
cmd = f"nmap -sS -sV -sC -p- -T4 {self.target}"
result = subprocess.run(cmd.split(), capture_output=True)
return self.parse_nmap(result.stdout.decode())
def web_enum(self, port: int = 80) -> List[str]:
"""Перечисление веб-директорий"""
wordlist = "/usr/share/wordlists/dirb/common.txt"
cmd = f"gobuster dir -u http://{self.target}:{port} -w {wordlist}"
# Параллельное выполнение для скорости
with concurrent.futures.ThreadPoolExecutor() as executor:
future = executor.submit(subprocess.run, cmd.split())
return future.result()
def auto_exploit(self, service: str, version: str):
"""Автоматический поиск и запуск эксплойтов"""
searchsploit_cmd = f"searchsploit {service} {version}"
# Логика автоэксплуатации
pass
# Использование в CTF:
recon = CTFRecon("10.10.10.10")
recon.full_scan() # Запускает всё параллельно
Браузерные расширения для веб-CTF
Расширение | Функция | Экономия времени |
---|---|---|
Wappalyzer | Определение технологий | 5 мин/задачу |
Cookie-Editor | Манипуляция с cookies | 10 мин/задачу |
FoxyProxy | Быстрое переключение прокси | 3 мин/задачу |
HackBar | Тестирование payloads | 15 мин/задачу |
Shodan.io | Поиск по IoT/серверам | 20 мин/задачу |
Обучающие ресурсы: что читать/смотреть в 2025
Книги-маст-хэв для CTF → Пентест
- "Web Application Hacker's Handbook" — библия веб-безопасности
- "The Shellcoder's Handbook" — для binary exploitation
- "Practical Malware Analysis" — reverse engineering
- "Red Team Field Manual" — карманный справочник
YouTube-каналы с разборами CTF
- IppSec — 500+ видео с HackTheBox writeups
- LiveOverflow — глубокие технические разборы
- John Hammond — CTF для начинающих
- STÖK — bug bounty фокус
- Codeby — русскоязычные разборы
Telegram-каналы и чаты (русскоязычные)
- @ctfchat — основной чат русского CTF-сообщества
- @codeby_sec — новости и статьи по ИБ
- @bugbountyru — bug bounty находки и советы
- @DC7499 — сообщество DefCon Russia
Чек-лист готовности к первому собеседованию на пентестера
Технические навыки
- [ ] Решено минимум 100 CTF-задач разной сложности
- [ ] Есть 10+ качественных writeups на GitHub
- [ ] Написаны свои инструменты/скрипты (минимум 5)
- [ ] Пройдена минимум одна learning path на TryHackMe/HTB
- [ ] Понимание OWASP Top 10 и умение эксплуатировать каждую
- [ ] Опыт работы с Burp Suite Pro или OWASP ZAP
- [ ] Знание минимум одного языка скриптинга (Python/Bash)
- [ ] Понимание сетевых протоколов (TCP/IP, HTTP/S, DNS)
- [ ] Опыт написания профессиональных отчётов
Soft Skills
- [ ] Умение объяснить технические находки нетехническим людям
- [ ] Опыт работы в команде (командные CTF)
- [ ] Навыки тайм-менеджмента (CTF с ограничением времени)
- [ ] Английский минимум B1 для чтения документации
Портфолио
- [ ] Активный профиль на HackTheBox/TryHackMe (топ-10% минимум)
- [ ] GitHub с инструментами и writeups
- [ ] Минимум 3 подтверждённых bug bounty находки
- [ ] Участие минимум в 5 CTF-соревнованиях
- [ ] Блог или YouTube с разборами (опционально, но большой плюс)
FAQ: Ответы на частые вопросы о переходе из CTF в пентест
Можно ли стать пентестером без высшего IT-образования через CTF?
Да, 34% пентестеров в России не имеют профильного образования. CTF-достижения и практические навыки важнее диплома. Пример: Иван Квятковский, топ-10 HackTheBox Russia, нанят в Positive Technologies без IT-образования.Сколько времени нужно уделять CTF, чтобы за полгода найти работу?
Минимум 2-3 часа в день систематической практики. Оптимально: 1 час теории + 2 часа практики. За 6 месяцев это даст ~500 часов практики — достаточно для Junior-позиции.Какие CTF-платформы признаются работодателями в России?
HackTheBox (наиболее признаваемая), TryHackMe, HackerLab, Root-Me, CTFtime рейтинг. Профиль с Hack The Box Rank 1000 или выше практически гарантирует приглашение на собеседование.Что важнее для работодателя: сертификаты или CTF-рейтинг?
Для junior-позиций CTF-рейтинг часто важнее. Для middle+ нужны оба. Идеальная комбинация: высокий CTF-рейтинг + OSCP/PNPT сертификат.Как перейти от CTF к bug bounty для дополнительного дохода?
Начните с программ с низкой конкуренцией на Bugcrowd/Intigriti. Фокусируйтесь на одной программе 2-3 месяца. Первые баги обычно находят через 20-40 часов целенаправленного тестирования.Какая специализация CTF наиболее востребована на рынке?
Web Security (65% вакансий), Cloud Security (растущий тренд, +40% в 2024), Mobile Security (высокие ставки, мало специалистов).Нужно ли знать программирование для успеха в CTF и пентесте?
Python — обязательно (автоматизация, эксплойты). Bash — крайне желательно. C/Assembly — для binary exploitation. JavaScript — для веб-пентеста.Как объяснить на собеседовании перерыв в карьере, если учил CTF?
"Проходил интенсивную практическую подготовку в области кибербезопасности. За X месяцев решил Y задач, нашёл Z уязвимостей, создал портфолио из N проектов". Покажите GitHub со скриптами и writeups.Стоит ли участвовать в CTF, если команда занимает последние места?
Абсолютно да! Важен опыт, а не место. 90% обучения происходит после CTF при разборе writeups. Упомяните в резюме участие, даже если не в топе.Какие книги обязательны перед первым CTF?
Начинающим: "Linux Basics for Hackers", "Python Crash Course". Продолжающим: "Web Application Hacker's Handbook", "Practical Binary Analysis".Как найти команду для CTF, если нет знакомых в ИБ?
Telegram-чаты (@ctfchat), Discord-серверы CTF-платформ, локальные DefCon группы (DC7499 для России), университетские клубы кибербезопасности.Можно ли совмещать основную работу с подготовкой через CTF?
Да, 67% успешно перешедших в пентест готовились параллельно с основной работой. Ключ — регулярность: лучше 1 час каждый день, чем 10 часов в выходные.Какие типичные ошибки делают новички при переходе от CTF к работе?
Фокус только на технических навыках (нужны soft skills), отсутствие документирования (важны отчёты), игнорирование методологий (PTES, OWASP), недооценка важности английского языка.Что делать, если застрял на CTF-задаче больше 2 часов?
Правило 2-4-8: 2 часа сам, затем hint, ещё 4 часа попыток, затем writeup. После — обязательно повторить решение самостоятельно. Это нормально использовать подсказки для обучения.Какая минимальная конфигурация ПК нужна для CTF?
Минимум: 8GB RAM, i5/Ryzen 5, 256GB SSD. Оптимально: 16GB RAM, 512GB SSD. Можно начать с VPS за $20/месяц или использовать бесплатные cloud IDE.Заключение: Твой путь начинается с первого флага
CTF — это не просто соревнования, это систематический путь в кибербезопасность с предсказуемым результатом. При правильном подходе и 2-3 часах ежедневной практики, через 6-12 месяцев ты можешь рассчитывать на:- Позицию Junior Penetration Tester с зарплатой от 100к руб/месяц
- Дополнительный доход от bug bounty ($1000-5000/месяц)
- Нетворкинг с топовыми специалистами индустрии
- Постоянный профессиональный рост в самой динамичной IT-области
- Зарегистрируйся на TryHackMe и начни learning path "Pre Security"
- Установи Kali Linux в VirtualBox
- Реши первые 10 задач категории "Easy"
- Напиши свой первый writeup
- Присоединись к русскоязычному CTF-сообществу в Telegram
Последнее редактирование: