ZavetSec // Offensive Track

КАРТА ПРОКАЧКИ ПЕНТЕСТЕРА

Дорожная карта развития в наступательной безопасности — от фундамента до red team. Рассчитана на старт с любого уровня. Отдельно стоит держать в голове: тем, кто приходит из защиты (SOC, DFIR, администрирование), переход даётся легче — понимание того, как атаки выглядят в логах и детекте, напрямую помогает в наступлении. Где такой опыт ускоряет прохождение, отмечено по ходу карты.

РЕЖИМ: RED / PURPLE ГОРИЗОНТ: 18–30 МЕС ФАЗ: 05 СТАТУС: AUTHORIZED ONLY

// 00

Граница, которую не переходят

Единственное правило, делающее тебя «белым». Разница между пентестером и преступником — не навык, а письменное разрешение. Любой скан, любой эксплойт, любой сбор данных только при наличии подписанного scope / Rules of Engagement / договора либо на собственной изолированной лаборатории. Нет бумаги — нет действия. В РФ это ст. 272–274 УК; «я просто проверял» не является защитой.

OPSEC исследователя. Лабы и CTF — на отдельном железе/VM, через изолированную сеть. Реальные заказы — строго в рамках согласованных IP/доменов/времён. Не тащи рабочие артефакты на личные машины — та же гигиена изоляции, что и в форензике, только с обратным знаком.

// 01

Фазы прокачки

Пять фаз. Не прыгай вперёд — дыры в фундаменте всплывут на OSCP и на реальном заказе. Пометками выделено, что обычно уже закрыто у тех, кто приходит из защиты или администрирования.

ФАЗА 0 — Фундамент

Foundation · 2–4 мес

ЦЕЛЬ: уверенно читать и понимать стек, прежде чем его ломать. При наличии ИБ- или админ-опыта проходится как ревизия пробелов.

Сети: TCP/IP, маршрутизация, ARP, DNS, DHCP, NAT, VLAN
HTTP(S): методы, заголовки, cookies, TLS-хендшейк, прокси
Linux: bash, права, systemd, namespaces, базовое администрирование
Windows internals: токены, SID, LSASS, реестр, службы
Active Directory: Kerberos, NTLM, LDAP, GPO, структура домена
Скриптинг: Python + PowerShell + Bash на уверенном уровне
Крипто-базис: хэши, симметрика/асимметрика, JWT
Виртуализация: своя лаба — Kali + AD-домен + уязвимые ВМ

ФАЗА 1 — Recon & Web

Core · 3–5 мес

ЦЕЛЬ: проходить большинство web-целей вручную, понимая первопричину каждой уязвимости, а не «нажал кнопку в сканере».

OSINT: поддомены, утечки, метаданные, Google dorking
Скан/энумерация: nmap, masscan, сервис-фингерпринт
Burp Suite: proxy, repeater, intruder, extensions
OWASP Top 10: разобрать каждый пункт руками
Инъекции: SQLi (вкл. blind/time-based), command injection
Клиент: XSS (stored/reflected/DOM), CSRF
Логика: IDOR, broken access control, race conditions
Серверные: SSRF, XXE, file upload, LFI/RFI, deserialization
Auth: JWT-атаки, OAuth-мисконфиги, session-флоу
API: REST/GraphQL, BOLA, mass assignment

ФАЗА 2 — Сеть, AD, Privesc

Core · 4–6 мес

ЦЕЛЬ: путь от первого шелла до Domain Admin. Опыт администрирования или защиты AD здесь напрямую конвертируется в наступление — знание слабых мест работает в обе стороны.

AD recon: BloodHound / SharpHound, PowerView, attack paths
Kerberos: Kerberoasting, AS-REP roasting, delegation abuse
Credentials: Pass-the-Hash/Ticket, Mimikatz, LSASS dump
Реплика: DCSync, DCShadow, NTDS.dit extraction
Relay: NTLM relay, LLMNR/NBT-NS poisoning (Responder)
Win privesc: сервисы, unquoted path, токены, AlwaysInstallElevated
Linux privesc: SUID, sudo-мисконфиг, cron, capabilities, GTFOBins
Pivoting: туннели, SOCKS, port-forward (chisel/ligolo-ng)
Lateral: WMI, WinRM, PsExec, SMB, scheduled tasks
Эксплойты: Metasploit + ручная правка публичных PoC

ФАЗА 3 — Post-Ex, C2, Evasion

Advanced · 4–6 мес

ЦЕЛЬ: работать в среде с реальным EDR/SIEM так, чтобы не загораться. Понимание того, что именно детектят SIEM и EDR, прямо помогает выстраивать обход — а затем и закрывать его.

C2: Sliver, Mythic, Havoc (Cobalt Strike — на платных курсах)
Персистентность: registry, scheduled tasks, WMI, service
AV/EDR-обход: AMSI bypass, ETW patching, unhooking
Loaders: shellcode injection, process hollowing, syscalls
Маскировка: LOLBAS, living-off-the-land, fileless
OPSEC C2: domain fronting, redirectors, jitter/sleep
Кража данных: exfil-каналы, DNS/HTTPS-туннели
Anti-forensics: что чистится, что нет, какой артефакт остаётся
Покрытие следов: понимать, где останется артефакт в EVTX

ФАЗА 4 — Специализация

Elite · бесконечно

ЦЕЛЬ: выбрать 1–2 глубоких направления и стать в них тем, к кому приходят за консультацией. Распыляться на всё — путь вечного джуна.

Red Team Ops: полноценные long-haul операции, full kill-chain
ICS/SCADA pentest: Modbus, S7, OT-сети — редкая и востребованная ниша
Cloud: AWS/Azure/GCP — IAM, метадата, привилегии
AD на максималках: ADCS (ESC1-13), trust abuse, Shadow Creds
Binary exploitation: stack/heap overflow, ROP, формат-строки
Mobile: Android/iOS, реверс APK, Frida
Wireless: WPA2/3, Evil Twin, BLE
Hardware/RF: JTAG, UART, прошивки — для самых упоротых
Свой инструмент: писать собственный tooling — лучший способ закрепить понимание

// 02

Лестница сертификатов

Сертификаты — не самоцель, а структурированная цель и пропуск через HR. Hands-on (с отчётом) ценятся выше, чем multiple-choice.

Уровень	Сертификат	Что качает	Комментарий
START	eJPT (INE)	База пентеста, методология	Можно пропустить при наличии ИБ-опыта
CORE	PNPT (TCM)	AD + внешний/внутренний + отчёт + защита	Дёшево, реалистично, есть live-defense
CORE	OSCP (OffSec)	24ч экзамен, ручная эксплуатация, отчёт	Индустриальный стандарт. Твоя главная цель
ADV	CRTO (Zero-Point)	Red team, Cobalt Strike, evasion, AD	Лучший вход в red team. Очень практичный
ADV	OSEP (OffSec)	Обход защит, advanced AD, evasion	Логичное продолжение OSCP
ADV	OSWE (OffSec)	White-box web, code review, цепочки	Если выбрал web-специализацию
ELITE	OSED / CRTL / GXPN	Exploit dev / red team lead / advanced	Под конкретную узкую специализацию

Рекомендуемый маршрут: PNPT (быстро, прокачивает практику и отчётность) → OSCP (индустриальный флаг на резюме) → CRTO (вход в red team). OSEP — когда понадобится системно работать с обходом EDR.

// 03

Полигоны для практики

90% роста — это руки, а не теория. Минимум одна машина в день на старте. Правило: сначала сам, hint — только когда реально застрял >1–2 часов, writeup — только после рута.

Платформа	Для чего	Уровень	Цена
TryHackMe	Старт, структурированные пути, мягкая кривая	Новичок→средний	freemium
PortSwigger Web Academy	Лучший в мире тренинг по web. Обязателен	Все	бесплатно
Hack The Box	Машины + Academy + Pro Labs (корп-сети)	Средний→эксперт	freemium
OffSec Proving Grounds	Машины в стиле OSCP, подготовка к экзамену	Средний	подписка
VulnHub	Скачиваемые ВМ для оффлайн-лабы	Все	бесплатно
GOAD / VulnAD	Готовый уязвимый AD-домен для атак	Средний	бесплатно
CTF (CTFtime)	Соревнования, нестандартное мышление, скорость	Все	бесплатно
HTB Pro Labs / RastaLabs	Полные корпоративные сети, red team-сценарии	Эксперт	платно

// 04

Методология и фреймворки

Гуру отличается от скрипт-кидди тем, что работает по системе, а не наугад. Изучи эти стандарты — они же ложатся в основу отчёта.

# Методологии тестирования
PTES      → Penetration Testing Execution Standard (7 фаз: от pre-engagement до reporting)
OWASP WSTG → Web Security Testing Guide — чек-лист для web
OSSTMM    → Open Source Security Testing Methodology Manual
NIST 800-115 → техническое руководство по security assessment

# Базы знаний об атаках
MITRE ATT&CK → матрица TTP: тактики и техники атак (мапятся в находки отчёта)
MITRE D3FEND → обратная сторона: контрмеры (purple-перспектива)

# Стандартная цепочка атаки (kill chain)
recon → weaponize → deliver → exploit → install → C2 → actions

Отчёт — это продукт. Заказчик платит не за рут, а за отчёт: executive summary без жаргона, технические детали с PoC и воспроизведением, оценка риска (CVSS + бизнес-контекст), конкретные ремедиации. Умение писать чёткие формальные документы — недооценённое преимущество: многие технари ломать умеют, а внятно описать находки — нет.

// 05

Арсенал

Инструмент — продолжение понимания, а не замена. Сначала разберись, ЧТО делает тул под капотом, потом автоматизируй. Иначе при пустом выводе сканера ты застрянешь.

Recon

nmapmasscanamasssubfinderhttpxffufgobuster

Web

Burp Suitesqlmapnucleiwpscannikto

AD / Win

BloodHoundImpacketCrackMapExecRubeusMimikatzCertipyResponder

Exploitation

Metasploitsearchsploitmsfvenom

SliverMythicHavocCovenant

Pivoting

chiselligolo-ngsshuttleproxychains

Privesc

WinPEASLinPEASPowerUpGTFOBinsLOLBAS

Cracking

hashcatJohnhydraCeWL

Платформа

Kali / ParrotBloodHound CEObsidian (заметки)

// 07

7 правил гуру

Фундамент важнее эксплойта. Тот, кто понимает протокол, найдёт баг там, где сканер промолчал. Тулы устаревают, понимание — нет.

Руками, потом автоматом. Если ты не можешь сделать это без Metasploit — ты этого не умеешь. Автоматизируй только то, что понимаешь до байта.

Думай как защитник. Каждый раз спрашивай: «где останется след, что увидит SOC?» Так атака становится тише, а специалист — полезнее для заказчика.

Документируй всё. Личная база знаний — главный актив специалиста. Каждая команда, каждый трюк, каждый провал. Через год это серьёзное конкурентное преимущество.

Отчёт решает. Рут без внятного отчёта — это половина работы. Учись объяснять риск бизнесу, а не только показывать шелл.

Скоуп — это закон. Один шаг за границу разрешения, и ты уже не белый. Дисциплина важнее любопытства. Всегда.

Делись. Writeup'ы, инструменты, разборы. Комьюнити-репутация открывает двери, которые не открывает ни один сертификат. Собственный публичный след работает на тебя.