1. Регистрация на платформе.

Заполняем данные и погнали.

Регистрация

Проходим тест, отвечая что мы полные новички и ничего не знаем.

Вопрос 1

Вопрос 2

Вопрос 3

Вопрос 4

После вопросов, сразу же предлагают пройти модуль по Предварительной безопасности. Жмем "Начать обучение"

Каждый модуль описывается что в нем будет и говорят, что модуль разделен на блоки обучения, все понятно. "Начать обучение".

Intro to Offensive Security - Ведение в наступательную безопасность

ссылка на комнату

Есть 2 команды - Атакующие (хакеры - красные) и Защитники (безопасники - синие). Красные атакуют и находят уязвимости, синие пытаются предотвратить атаки и уберечь систему от взлома.

Нам дают информацию для обучения и для закрепления просят ответить на вопросы, чтоб закрепить знания.

Пример, не верного ответа: (ответы надо давать на английском языке)

Не верный ответ

Правильно отвечать на вопросы, пишите на англ или копируйте текст

Сейчас мы добьем первый модуль вместе, потому же я не буду скриншотить каждую страничку, для того чтобы вы смогли все сами почитать, и поэтому буду выписывать только основную инфу - заметки на будущее, что вам нужно будет знать.

Премиум?

Как вы заметили у нас появился огонечек, немножко про огонечек - чем полезен?
Он работает так:
За каждый ПЕРВЫЙ правильный ответ В ДЕНЬ
Что дает? В основном это ваш стрик (беспрерывные дни обучения)

Огонек

Да тут есть "Премиум" - что-то в районе 11$ - открывает доступ к обучению, да тут модули устроены так, что до конца, чтобы пройти и получить СЕРТИФИКАТ, нужно купить премиум и пройти модуль, получаешь значок (ОЧИВКИ)

Ценик

Раньше я покупал подписку "премиум" - за 600р и это было с комиссией включительно, но сейчас момент курса такой:

Курс

-Как пополнить?

-Я покупал через телеграммы магазин которому объясняешь зачем тебе это надо, какой сервис, сколько надо и делаешь перевод, тебе предоставляют реквизиты иностранной карты, вводишь и готово. Сейчас же таких сервисов миллионы, я уверен вы найдете)

-Буду ли выкладывать платный контент за подписку?

Для прохождения модуля он нужен 100% - моя цель больше опыта, очивок и сертификатов, нас это серьезно бустанет. Видеть свои результаты это важно, а указывать их в резюме и потом спросят за них (да за любые сертификаты, при устройстве в компании на собеседованиях, что-то спрашивают по пройденному материалу, дабы убедиться в подлинности сертификата и полученных твоих же знаний) и вы будете готовы, это увеличивает наш шанс найти работу.

-Поэтому, да я буду выкладывать прохождения комнат, модулей и тд.

Сертификаты и значки (ОЧИВКИ)
-Именно для сертификатов при регистрации мы заполняли ФИО - на английском-
Возможно сайт может подтягивать для сертификатов полное ФИО, для этого в профиле на всякий случай укажем полное ФИО.

Пример сертификата THM

Профиль

Пока он пуст - ранг 0, тут будут появляется ваши достижения, очивки, пройденные комнаты и тд...

Матрица скиллов будет развиваться по мере учебы (для тех кто играл в доту точно также)

Продолжаем. Добьем стартовый модуль. Все расписано по шагам, в начале вас будут вести за ручку, потом отправят в самоволку)

Шаги

Да на сайте есть свои интерактивные приколы и встроенная удаленная машина - у неё тоже есть свои условия

Внутренняя машина - THM

Задача найди уязвимость банка

Взлом банка

У нас есть задачи
1) Найдите скрытые страницы веб-сайта
2) Взломать банк
3) Переведите 2000 долларов США со счета 2276 на свой счет (номер счета 8881).

1) нам подсказывают что надо использовать команду

gobuster -u http://fakebank.com -w wordlist.txt dir

разберем ее:

"gobuster" - это утилита (программа) к которой мы обращаемся
"-u" - это аргумент ( говорим что мы хотим сделать обращаясь к команде)
"http://fakebank.com" - это ссылка на основной сайт где мы хотим перебрать страницы сайта
"-w wordlist.txt" - очередной аргумент (говорим утилите, что для перебора будет использоваться готовый словарь wordlist.txt
"dir" - будем перебирать директории (странички которые есть на сайте)

Содержание wordlist.txt

Программа отработала и вывела результат

Результат сканирования директорий

Нашлось 2 страничка и их статусы (О статусах чуть позже поговорим в следующем занятии, все что надо знать сейчас 301 - доступ запрещен, 200 - успешно)

1) /images - статус 301

Доступ запрещен

2) /bank-transfer - статус 200

Успешно - статус 200

Вспомним цели:

2) Взломать банк
3) Переведите 2000 долларов США со счета 2276 на свой счет (номер счета 8881).

Вводим данные

Итог операции - успешно

Проверяем свой счет

Получаем +2000$ на свой счет и увидели что появилось уведомление... это наш ФЛАГ

Флаг - доказательство того, что вы решили задачу

Отлично!

Вопрос 1

Прошли блок

Вопросы 1-3

Что дальше?

Ура!!! 1 шаг сделан, мы прошли первый модуль

Модуль закрыт

В "мои комнаты" отображается пройденные комнаты

Матрица ваших скиллов начинает расти

Матрица

Шаг сделан! Осталось продолжить свой путь в мир ИБ!

Профиль

На последок раcсмотрим RoadMap - это путь что вам надо знать, чтобы дойти до своей цели, цель у всех разная поэтому и раскидывается направление, но каждый ИБ-шник должен понимать, как работают на других должностях, да и вам это будет проще для дальнейшего выбора профессии и направления.

Нам предлагают 2 стула
"Платный" и "Бесплатный"

Платный путь - с сертификатами и доступап к комнатам, точечная информация.

Бесплатный путь - без сертификатов, без доступа, но с большей информацией.

Пока начнем проходить бесплатные комнаты, обязательно выписывая важное, да это будет суховато, но мы же это делаем, для того чтобы вернуться к этим знаниям, знать все это невозможно, но вот вспомнить "Блин, я где-то это записывал уже" поискать, найти, применить знания - это самый важный НАВЫК, цениться он намного больше, чем знать что-то одно и не знать многого

Так же заходи в нашу:

Основная группа обучения ИБ
Lab-группу с полезным софтом / книгами / аудио.
Чат для обсуждений, задавай свои вопросы.
P.S. С вами был @Fnay_Offensive
До новой встречи, user_name!