• Познакомьтесь с пентестом веб-приложений на практике в нашем новом бесплатном курсе

    «Анализ защищенности веб-приложений»

    🔥 Записаться бесплатно!

  • CTF с учебными материалами Codeby Games

    Обучение кибербезопасности в игровой форме. Более 200 заданий по Active Directory, OSINT, PWN, Веб, Стеганографии, Реверс-инжинирингу, Форензике и Криптографии. Школа CTF с бесплатными курсами по всем категориям.

Статья В ИБ в 36. Путь джедая.

debolg

Grey Team
06.04.2021
24
105
BIT
71
Привет, всем, особенно тем кто хочет стать пентестером.

Хочу поделиться с вами историей своего восхождения на гору Фудзияма пентеста. Конечно, каждый идет своей дорогой и мой путь возможно вызовет у кого-то лишь ехидную улыбку, но если помимо этого мой пост принесёт пользу еще хоть одному юному падавану, то я буду считать, что не зря потратил битый час на её написание.

Оглядываясь назад, вниз этой высочайшей горы, я вижу, что нахожусь в тени деревьев, которые растут у подножья. Да, я поднялся уже метров на 5 и впереди остались какие-то жалкие 3 771 метров.

Fudzi_start.jpg


Стоп, стоп, стоп, скажешь ты. Чему, мол, может научить чел который за три года преодолел высоту меньшую, чем прыгала Елена Исинибаева со своим шестом (5,06 м.)? Понимаешь, юный падаван, дело в том, что в любом деле самое сложное, это начать. Если начнешь не правильно, то потратишь, как и я кучу времени, пока поймешь, что от тебя требуется. Конечно, дальше можешь не читать и со всех ног бежать по граблям, которые набили мне не одну шишку, или же потрать 7 минут времени, прочти пост до конца, проплюйся, что потерял 7 минут и иди дальше. Граблей всё равно на твоем пути меньше не будет, ибо каждый идет своей дорогой.

Грабли.jpg


Пожалуй, пока не потерял двух своих оставшихся читателей, опущу литературный пафос и перейду к сути и цифрам.

Мой старт - 3 апреля 2019 г. Тогда я не знал что такое AD и домен. Понятия не имел о групповых политиках, а линукс казался полной ж.... Ну, думаю ты понял мой тогдашний уровень компетенций. Посчастливилось значит мне в тот день устроится на одном предприятии на должность специалиста по информационной безопасности. Да, да не смейся.

Урок 1. Жизнь такая штука, что далеко не всегда название вакансии соответствует реальным требованиям. Помни об этом и не бойся отправлять своё резюме, даже если считаешь, что твой опыт не релевантен описанию к вакансии.

Диплом у меня был. Какой-никакой а инженер, по специальности вычислительные машины, комплексы системы и сети. Даже опыт по трудовой был, со времен учёбы в универе. Для предприятия этого было достаточно, тем более, что в задачи мои входила работа с DLP, а не админить инфраструктуру предприятия.

И можно было бы до сих пор там работать и до сих пор не знать что такое Exchange Server, ACL и прочее. Но это не про меня. В детстве я мечтал стать антихакером, мне казалось, что это намного круче чем просто хакер, а тут как раз все карты в руки, грех не воспользоваться.

На тот момент я и понятия не имел, что встану на дорогу пентеста. Я начал с малого, стал изучать что такое домен, что такое Active Directory, как вообще 5 админов могут админить 1000 хостов? Стал много читать, смотреть, записался на различные курсы, на степике и множестве других платформах. Ну в общем это и были мои первые грабли. Убил кучу времени почти впустую. Здесь я не буду да и не смогу написать все ресурсы на которых регался в надежде чему-то научиться.

Если ты совсем юн в плане опыта в ИБ, то настоятельно советую начать с tryhackme.com Эта платформа, которая берет тебя за руку, ведёт, и тыкает мордой, как котёнка в молоко, во все тонкости и премудрости мира инфобеза, а тебе лишь остаётся слизать с носа капли молока. На другие платформы типа hackthebox пока не суйся. HTB конечно красивая и ты можешь посмотреть write-upы и даже повторить их, но без понимания картины в целом, много пользы тебе это не принесёт.

Урок 2. Не распыляйся. Приобрети подписку на tryhackme.com и пройди хотя бы базовые комнаты. Я прошел вот эти:

thm.JPG


Если пройдешь всё это, то уже будешь иметь представление о сфере пентеста. Будешь понимать как нападать, как защищаться, будет представление об архитектуре винды и линухи и будешь знать основные инструменты.

Давай вернёмся к нашим баранам. Изучив всё это (примерно пол года) я убедился, что точно не хочу лежать на диване и что действительно готов скрепя зубами подниматься именно в гору пентеста, а не на другую. К тому времени всё, что я мог взять от работы в плане знаний и опыта, я взял и уперся в потолок развития. Мной было принято решение сделать первый шаг вверх, к вершине. Я обновил резюме, написал что я намбер уан на tryhackme.com, что хочу быть крутым челом и стал стучаться во все двери. Мне открыли. Да, да, в конце ноября 2021 г. я попал в крупнейшую IT компанию региона и считал, что половина восхождения пройдена. Какой же я был муд...к.

Почему мудак? Я тогда получал 50 тыс деревянных и считал, что в мире IT надо начинать с низов и что зарплата там сама, как в сказке, будет расти не по годам, а по месяцам. Ну ты понял уже наверно, что на вопрос о желаемой зарплате я с гордо поднятой головой ответил, что готов получать 50 тыс с перспективой роста. После онлайн собеса, мой руковод на той стороне провода наверно долго ржал, что нашел идиота готового работать за гроши. Меня конечно взяли и я отмотал там 7 месяцев.

Урок 3. Никогда! Слышишь? Никогда не соглашайся работать за копейки!!! Перечитай последний абзац и не наступай на эти грабли, они того не стоят!

К тому времени я уже примерно понимал что к чему. Чуть ранее я уже был участником форума Codeby (зарегался April 6, 2021). Перечитал там кучу статей, меня особенно сильно вдохновляли истории-биографии основных участников Стаса (@clevergod), Алексея (@puni359), Дмитрия (@f22) и других интересных людей.

Урок 4. Инфобез - это прежде всего комьюнити. Один ты в поле не воин. Конечно, со временем ты обрастешь полезными связями среди коллег, друзьями по форуму и т.д. Но если ты в начале пути, не поленись, потрать время на чтение или просмотр интервью известных в сфере ИБ людей (на Codeby таких много). Они много полезных вещей рассказывают, не пожалеешь.

На тот момент я знал свои слабые стороны и понимал, какие навыки мне надо прокачать, чтобы продолжить своё восхождение. Я принял решение приобрести курс Python для пентестера. С 10 января мой курс стартовал и в июне сего года благополучно завершился, о чём я ни разу не пожалел. Вот кстати ссылка на мой отзыв о курсе: Тынц.

Да, если ты помнишь мою зарплату, то можешь воскликнуть, какого чёрта, у тебя денег на водку не было, а ты месячную зарплату на какой-то курс потратил.

Урок 5. Не жмоть вкладывать деньги в своё образование. Водку ещё успеешь попить, на вершине горы, там как раз прохладно, водочкой согреешься!

На новой работе мне хоть и платили копейки, но всё ж там потолок развития был повыше. Я отвечал за проектирование и внедрение систем безопасности для АСУТП. В общем отвечал за такой продукт от лаборатории Касперского как Kics for Networks. Ну и еще по мелочи всякой всячины. Но я ж пентестер, а не абы кто в самом деле. Я стал биться головой о непробиваемую стену бюрократии и кричать, что пентест это круто, что пентест это модно и нужно, что на пентесте компания сможет зарабатывать дополнительные деньги и бился, что было силы, чтобы на работе сформировали новый отдел, который будет заниматься только пентестом.

К счастью на работе были еще двое коллег, которым тема пентеста тоже была интересна. В итоге чтобы я хоть ненадолго заткнулся, нам нашли халтурку и мы с коллегой отправились на 3 недели пентестить реальную организейшен. Админа домена захватить мы не смогли, но и не с пустыми руками вернулись. Тут наше руководство, на радостях, что сотрудники не полные идиоты, согласилось приобрести курсы WAPT для двоих. Да, да, для двоих, хотя нас было трое и курс мне не достался. Но не спеши меня жалеть, а читай дальше.

Я тэбэ зуб даю, что это не проделки злодейки судьбы, а тонкий, хорошо спланированный план. Моя корыстная задача была пролоббировать курс именно от Codeby, а не какой-либо другой школы. Во-первых, я уже хорошо был знаком с Codeby и знал, что они не халтурят. То есть курсы по достоинству лучшие в ру-сегменте. Во-вторых, у Codeby есть реферальная программа. Секёшь, что к чему?

Урок 6. Если у тебя нет денег на учёбу, которая тебе якобы так нужна, ищи пути достижения цели. Поверь, их много разных.

Когда я лоббировал курс WAPT, я уже понимал, что долго работать в компании не буду. Мне уже тогда было понятно, что зарплата моя расти не собирается и мои навыки, амбиции, опыт и стремление к совершенству мне не помогут. Тут как говориться с паршивой овцы хоть шерсти клок. Мои коллеги получили курс WAPT, а я, за активное лоббирование, получил 50% скидку на другой курс от Codeby - SQLim. 11 июля он стартует, так что, если что, присоединяйся ))

Тут и сказочке подходит конец, потерпи ещё чуток.

Только завершив курс по Python и получив заветный сертификат я сразу обновил резюме и откликнулся на вакансию: Специалист по тестированию на проникновение. Это из сферы ИБ, а не гинекологии.

И вот я сижу на собесе и рассказываю примерно всё то, что написано в этой статье. Они выслушали меня и задают свой любимый вопрос о моих зарплатных ожиданиях. Я же уже наученный опытом, говорю, что готов рассматривать вакансию от 100 тыс, но с перспективой роста (всегда говори об этом, но можешь и не говорить, твоё дело). Меня спросили, сколько я сейчас получаю, я честно сказал, что меньше, не вдаваясь в цифры, я ж честный пацан, врать не умею. И спустя неделю, у меня на руках был оффер, в котором как думаешь сколько? Пусть немногим, но больше, чем я у них просил.

Урок 7. Никогда не ври на собесе. Не старайся показаться лучше, чем ты есть на самом деле. Знаю, что это очень спорный момент и многие с ним не согласятся, но лично мне враньё всегда доставляет дискомфорт. И если мой руководитель прочтёт эту статью, то я с уверенностью заявляю, мне не будет за неё стыдно, потому что я ни на собесе ни здесь не врал.

Урок 8. В IT компании здорового человека всегда есть зарплатные вилки и если ты от природной скромности попросишь меньше, то в твоём оффере зарплата будет исходя из их зарплатной-вилки, а не та цифра, что ты осмелился назвать. Если найдешь такую компанию, держись за неё всеми оставшимися зубами!

anon-anon-5299088.jpeg


И так, 1 июля 2022 года, я отработал свой первый день в качестве инженера второй категории. Что? Что ты несешь? Воскликнет юный, еще неоперившийся падаван. Ты же говорил, что нашел вакансию пентестера, при чём здесь инженер?

Урок 9. Читай урок 1 и не ори так громко.

Сегодня мне 36 лет (буквально недавно стукнуло). И я с уверенностью могу сказать, что вошел в ИБ. Мой путь занял чуть более трёх лет. Три года зарплата 50 тыщ. Ну а сейчас будет 100 с хвостиком. Я пишу это чтобы ты понимал реальный уровень зарплат. Так как на курсах Яндекса и других любят писать, пройди курс и получи зарплату от 150 тыс. Может кто-то когда-то так и получил, но я думаю, что этот кто-то просто пиздабол болтун. Реальную картину я описал. Это город миллионник, но не Москва. То есть в меньших городах и того будет меньше.

При этом я совершенно уверен, что потолка по доходу в нашем деле почти нет, можно и 300 и 500 получать, но надо быть уже матёрым пентестером, как члены команды Codeby.

Урок 10. В пентесте можно достойно зарабатывать, но таких вершин достигают только самые устремленные, только те, кто знает что такое - try harder! Хочешь много денег? Тогда try harder!

На этом и сказочке конец, кто дочитал, большое спасибо, мне очень приятно, что вы потратили 10 минут своей жизни на чтении первой главы моей автобиографии )) Может когда-нибудь сам Лёша @Puni возьмет у меня интервью, но это будет ещё не скоро.

_ _
P.S. Разреши дать еще один важный урок.

Урок 11.

photo_2022-07-03_17-35-54.jpg


Успехов тебе, юный падаван и помни, тяжело всем, а вершин достигает только тот, кто не сдаётся!
 

mcfly

Green Team
08.09.2016
603
615
BIT
162
Привет! А что тебе больше заходит в пентесте web или внутрянка AD на что больше делаешь упор (что больше качаешь?) или все вместе?
 
  • Нравится
Реакции: KRONOS_IS_ALIVE

debolg

Grey Team
06.04.2021
24
105
BIT
71
Привет! А что тебе больше заходит в пентесте web или внутрянка AD на что больше делаешь упор (что больше качаешь?) или все вместе?
Пока 50/50. Но скоро придется выбирать специализацию. И скорее всего это будет web.
 

BAO

Red Team
11.09.2019
69
56
BIT
22
Try harder b***h!!!😂😂😂😂 Сколько же раз я встречал эту фразу на WAPT!!!!😝😝😝😝 Спасибо автору за статью. Эмоционально и мотивирующе излагаете мысли - интересно читать) Увидимся на SQLIM. Осталась всего неделька 😁

Пока 50/50. Но скоро придется выбирать специализацию. И скорее всего это будет web.
Лично я пока очень жду курс по AD от Codeby, но пока великий @UrfinJuice «не хочет», в силу обстоятельств я думаю, радовать нас этим шедевром. Поэтому качаю сейчас web где только возможно…😄
 
  • Нравится
Реакции: KRONOS_IS_ALIVE и debolg

digipos

Grey Team
22.05.2022
10
20
BIT
31
Спасибо за эту статью. Написана приятно, местами мотивирует, местами напоминает и рассказывает о важных вещах.
 
  • Нравится
Реакции: f22 и debolg

mcfly

Green Team
08.09.2016
603
615
BIT
162
Если такой курс будет, то я тоже на него запишусь )) И да, до встречи на SQLim :)
Курс по AD будет я писал Тимуру он сказал что курс в разработке. Тренькаюсь пока на Vbox Windows Server 2016 + в домене win 10 и 7.
 
  • Нравится
Реакции: debolg и BAO

ripmandin

Red Team
13.03.2020
38
147
BIT
2
Да, чувак! Codeby и мне помог войти в ИБ. Форум своими курсами дал вектор, но без усилий человека они не дадут плода, а без практики они забудутся через пару месяцев :(
 

f22

Codeby Academy
Gold Team
05.05.2019
1 831
225
BIT
926
Надо будет сделать отдельное домашнее задание для новичков по изучению этой статьи и написанию эссе на схожую тему =)
Статья просто превосходная - не только пересказ событий, но и анализ - вот, что самое главное!

Ну, а кроме того, что вы, Сергей, просто молодчина, в очередной раз эмпирически доказана пословица "Терпение и труд всё перетрут"!
 

debolg

Grey Team
06.04.2021
24
105
BIT
71
Надо будет сделать отдельное домашнее задание для новичков по изучению этой статьи и написанию эссе на схожую тему =)
Статья просто превосходная - не только пересказ событий, но и анализ - вот, что самое главное!

Ну, а кроме того, что вы, Сергей, просто молодчина, в очередной раз эмпирически доказана пословица "Терпение и труд всё перетрут"!
Спасибо, Дмитрий, за столь высокую оценку! Надеюсь, это не последний мой пост на Codeby. Буду и впредь делится с форумчанами практическим опытом полученным в боевых условиях ))
 
  • Нравится
Реакции: mcfly и f22

mackgomeryberns

Green Team
04.03.2019
30
3
BIT
3
Спасибо, мотивирует) НО.. Почему tryhackme? Почему вас не устроил HTB Academy? Там есть путь младшего Пентестера, в котором рассказаны базовые необходимые вещи
 
  • Нравится
Реакции: debolg

debolg

Grey Team
06.04.2021
24
105
BIT
71
Спасибо, мотивирует) НО.. Почему tryhackme? Почему вас не устроил HTB Academy? Там есть путь младшего Пентестера, в котором рассказаны базовые необходимые вещи
Если честно, после Вашего вопроса я вспомнил, что действительно, в одно время зарегался и на tryhackme и на HTB Academy. Я даже начал сперва с HTB Academy, но в самом начале споткнулся о какой-то вопрос и не зная как его решить, перешел на tryhackme. А там так увлёкся, что совсем забыл про HTB Academy )) То есть тут дело вкуса, кому что больше подходит. Я не утверждаю, что tryhackme лучший ресурс, просто описал свою историю. А уместить весь опыт за три года в один пост сложно, многое осталось неупомянутым ))
 

semen_rod

One Level
17.02.2022
4
2
BIT
0
Крутая статья! Честно, я примерно также начинал и все еще нахожусь наверное на первых 7-10 метрах, но уже смог найти свою нишу и потихоньку обучаюсь в ней. Команде кодбая хочу сказать огромное спасибо за данный форум и за замечательных людей на нем. Курсы, увы, я пока не покупал) А по мотивации и прочей ереси, которую так любят разбирать на более приземленных курсах (sf например), я могу ответить только "GitGud". Успехов автору и всего наилучшего)
 
  • Нравится
Реакции: debolg

Komokze

One Level
05.03.2020
7
10
BIT
3
Класс! Успехов вам =) Нахожусь как раз на половине вашего пути (+-1.5 года в безопасности), поэтому оч актуально :)
Как сейчас, разве что, решать вопрос с оплатой забугорных сервисов, наподобие HTB:unsure:
 
  • Нравится
Реакции: debolg

ED_user

Green Team
04.10.2020
72
9
BIT
0
Класс! Успехов вам =) Нахожусь как раз на половине вашего пути (+-1.5 года в безопасности), поэтому оч актуально :)
Как сейчас, разве что, решать вопрос с оплатой забугорных сервисов, наподобие HTB:unsure:
через посредника в Европе или США, таких сервисов полным полно. Крипту кидаете, вам оплачивают. Естественно плюс комиссия посреднику.
 

apache2

Green Team
26.02.2021
32
16
BIT
202
Как сказал один black hat hacker, если ты пройдёшь этот трудный путь к хакингу, ты никогда не пожалеешь
 
  • Нравится
Реакции: CITI и debolg

k001y44n

Green Team
22.01.2020
10
2
BIT
0
Привет! А что тебе больше заходит в пентесте web или внутрянка AD на что больше делаешь упор (что больше качаешь?) или все вместе?
Лично меня до сих пор этот вопрос гложит.. Нужно ли Инфраструктурному пентестеру знать хотя бы азы в работе с WEB?
 
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!