Привет, друзья! Это ваш "Хакер поневоле" . Возможно вам интересно почему 'поневоле'? Что ты там нахакал?" Отвечаю: Я обычный парень, который ещё недавно путал терминал с калькулятором, но жадный босс закинул меня в пучину пентеста. Расскажу, как Я, новичок, ковырял новый сайт компании с помощью различных инструментов, что они делают, как Я чуть всё не сломал, чем это все закончилось. Всё с объяснениями, командами для повторения и кучей юмора — чтобы вы могли попробовать (но только легально!). Погнали!
Дисклеймер: Всё ниже — только для образовательных целей! Пентест проводите ТОЛЬКО с письменного разрешения владельца системы или на своих тестовых машинах (например, в виртуалках или на платформах вроде TryHackMe). Взламывать чужие сайты — это уголовка, не пишите мне из мест не столь отдалённых!
Новый сайт и жадный босс.
Всё началось с того, что наш админ уволился, потому что ему надоело работать за копейки. Как раз в этот момент нашей компании презентовали новый сайт — красивый, как витрина, но, как оказалось, хлипкий, как карточный домик. Босс, жадный, как мистер Крабс из "Губки Боба", заявил: "Ты же разбираешься в компьютерах — проверь сайт на защищённость. Пентестеры? Это дорого!" Я? Проверять сайт? Да я знал только, как чистить кэш браузера! Но босс был непреклонен: "Яндекс в помощь, вперёд!" Пришлось установить Kali Linux на виртуалку (чтобы не угробить ноут) и открыть терминал. Чувствовал себя, как повар, которому велели починить космический шаттл.
Nmap: Разведка, или "Порты — это не про корабли?"
Я вбил в Яндекс "как тестировать сайт на уязвимости". Все советовали nmap — сканер портов, показывающий, какие "двери" на сервере открыты. Ввёл команду: nmap -sV жадныйбосс.com скрываю сайт что бы не палить. (-sV — для версий сервисов). Через пять минут терминал выдал: "Порт 80 (HTTP) — Apache 2.4.29, порт 443 (HTTPS), порт 8080 — что-то странное". Я такой: "Это что, что мне с этим делать?" Это как найти карту с сокровищами, но на другом языке. Записал: старый Apache, надо копать дальше.
Для чего nmap? Это как тепловизор: показывает, какие сервисы (веб-сервер, базы данных) работают и их версии. Старые версии — потенциальные дырки. Как повторить? В Kali введите nmap -sV <ваш_тестовый_сайт> (например, на своём сервере или в HackTheBox). Только с разрешения!
Gobuster: Поиск секретов, или "Где спрятали ключи?"
Понял, что порты — это только начало. Яндекс подсказал gobuster — инструмент для поиска скрытых директорий типа /admin или /backup. Ввёл: gobuster dir -u http://жадныйбосс.com -w /usr/share/wordlists/dirb/common.txt (-w — словарь, встроен в Kali). Сначала забыл -u, и терминал устроил мне разнос. Исправил, и через 10 минут нашёл папку /uploads с файлом config.bak — логины и пароли в открытом виде! Я чуть не подавился бутербродом: "Это что, сайт — как кошелёк, забытый в автобусе?"
Для чего gobuster? Ищет скрытые папки и файлы, которые админы забыли закрыть. Как повторить? В Kali: gobuster dir -u http://ваш_тестовый_сайт -w /usr/share/wordlists/dirb/common.txt. Только на своём сайте или с разрешения!
Nikto: Диагностика, или "Сайт заразился COVID-19?!"
Думаю: "Папки нашёл, а где дырки?" Яндекс расхваливал nikto — сканер уязвимостей веб-серверов. Ввёл: nikto -h http://жадныйбосс.com. Терминал выдал: "Apache 2.4.29 уязвим к CVE-2018-1234", "Нет заголовков X-Frame-Options", "Слабый SSL". Я такой: "CVE? Это что, COVID-19 для сайтов?" Чувствовал себя врачом, который видит, что пациент чихает, но не знает, чем лечить. Записал всё для отчёта.
Для чего nikto? Это как доктор: диагностирует устаревшие версии, плохие настройки и "вирусы" вроде CVE. Как повторить? В Kali: nikto -h http://ваш_тестовый_сайт. Просто, но только с разрешения!
WPScan: Атака на WordPress, или "Админ, ты забыл замок?"
Часть сайта была на WordPress. Яндекс сказал: бери WPScan — ищет уязвимости в WP. Ввёл: wpscan --url http://жадныйбосс.com --enumerate p,t,u (p — плагины, t — темы, u — пользователи). Через 15 минут: устаревший плагин Contact Form 7 с дыркой и логин "admin". Пароль не угадал — я же не злодей из боевика. Сначала ввёл без --url, и терминал устроил мне головомойку. Но когда заработало, я был как археолог, нашедший древний клад.
Для чего WPScan? Это детектив для WordPress: ищет дырявые плагины, темы и логины. Как повторить? В Kali: wpscan --url http://ваш_тестовый_сайт --enumerate p,t,u. Только на своём WP или с разрешения!
SQLMap: База данных, или "Я случайно стал суперзлодеем"
Nikto намекнул на SQL-инъекцию в форме поиска. Яндекс кричал: бери sqlmap — автоматизирует SQL-инъекции. Ввёл: sqlmap -u "http://жадныйбосс.com/search.php?query=1" --dbs. Сначала криво ввёл URL, ждал час, пока sqlmap ворчал, как сосед по поводу шума. Исправил, и через 20 минут — список баз данных, включая users с логинами и хэшами паролей . Я чуть не уронил кружку: "Я что, реально его взломал?"
Для чего sqlmap? Если форма на сайте плохо защищена, он может вытащить данные из базы. Как повторить? В Kali: найдите форму на тестовом сайте и введите sqlmap -u "http://ваш_сайт/форма?param=1" --dbs. Только с разрешения!
Итог: Спас сайт и проучил босса
После недели ошибок и воплей "Почему терминал меня ненавидит?!" я собрал отчёт:
- Nmap: старый Apache на порту 80, хлипкий, как домик из спичек.
- Gobuster: папка /uploads с файлом config.bak, где логины и пароли лежали в открытую.
- Nikto: куча проблем, включая "заразу" CVE, — от устаревшего Apache до отсутствия заголовков.
- WPScan: дырявый плагин Contact Form 7 и логин "admin" (пароль не подобрал).
- SQLMap: SQL-инъекция в форме поиска, через которую можно вытащить базу users.
Принёс отчёт боссу. Он побледнел, как мой монитор на энергосбережении, и пробормотал: "Это всё на нашем сайте?" Поскольку админа не было, он кинулся звонить разработчикам сайта, которых наняли за копейки. Началась паника: они обновили Apache, закрыли папки, сменили пароли, пофиксили форму. Мне дали премию (хватило на пару пицц, босс же жмот). Но потом он заявил: "Админа нет, теперь ты всё чини!" Я? Чинить сервер? Это как просить сантехника построить ракету! Я написал заявление по собственному — не хочу быть вечным спасателем за копейки.
Почему "поневоле" и почему эти инструменты?
Я выбрал nmap, gobuster, nikto, WPScan и sqlmap, потому что они попались первыми в Яндексе, просты для новичков и дают результат, даже если ты путаешь команды. Nmap — разведка, gobuster — поиск ключей, nikto — диагностика "вирусов" вроде CVE, WPScan — для WordPress, sqlmap — для баз данных. Это как набор отвёрток: не сделают тебя инженером, но дырку заделать помогут. "Поневоле" — потому что я не мечтал о хакерстве. Босс закинул меня в эту авантюру, и я сбежал, как только спас сайт.
Хотите попробовать? Установите Kali, настройте виртуалку, пробуйте команды на своём тестовом сайте или в песочницах вроде TryHackMe. Но только с разрешения! Пишите в комментариях, как вы влипли в пентест или какие команды вас спасли. И держите пароли длиннее, чем мой отчёт боссу! 😄