Black Hat Go: программирование на Go для хакеров и пентестеров [Стил, Паттен, Коттманн] - Часть 2 из х

Black Hat Go: программирование на Go для хакеров и пентестеров [Стил, Паттен, Коттманн] - Часть 2 из х

Black Hat Go
Программирование на Go для хакеров и пентестеров​

​

Спойлер: Сэмпл перевода

Содержание книги:

1. Основы и концепции Go
2. TCP и Go: сканеры и прокси
   
3. HTTP-клиенты: удаленное взаимодействие с инструментами (красным выделено содержание второй части перевода)
   • Основы HTTP с Go
   • Вызов HTTP APIs
   • Генерация запроса
   • Парсинг структурированных ответов
   • Создание HTTP-клиента, взаимодействующего с Shodan
   • Пересмотр шагов для создания API клиента
   • Проектирование структуры проекта
   • Очистка вызовов API
   • Отправка запросов по вашей подписке на Shodan
   • Создание клиента
   • Взаимодействие с Metasploit
   • Определение вашей цели
   • Получение валидного токена
   • Определение методов запросов и ответов
   • Создание структуры конфигурации и RPC-метода
   • Выполнение удаленных вызовов
   • Создание программы-утилиты
   • Парсинг метаданных документов с помощью скрапинга Bing
   • Настройка окружения и планирование
   • Определение пакета metadata
   • Маппинг данных в структуры
   • Поиск и получение файлов с Bing
4. HTTP-серверы: маршрутизация и промежуточное ПО
   • Основы HTTP-сервера
   • Создание простого сервера
   • Создание простого маршрутизатора
   • Создание простого промежуточного ПО
   • Маршрутизация с пакетом gorilla/mux
   • Создание промежуточного ПО с Negroni
   • Добавление аутентификации с Negroni
   • Использование шаблонов для создания HTML-ответов
   • Атака со сбором учетных данных
   • Кейлоггинг с WebSocket API
   • Мультиплексирование командования и управления (Meterpreter)
5. Эксплуатация DNS: разведка и прочее
6. SMB и NTLM: заглядываем в кроличью нору
   
7. Базы данных и файловые системы: извлечение данных и злоупотребление
8. Обработка пакетов: жизнь в проводах
9. Код эксплоитов: написание и портирование
10. Расширяемые инструменты: использование плагинов Go и LUA
11. Криптография: реализация и атаки
12. Windows: взаимодействие с системой и анализ
    
13. Стеганография: сокрытие данных
14. Командование и управление: создание RAT

Описание:

В книге Black Hat Go исследуется темная сторона Go, популярного языка программирования, который находится в почете у хакеров за свою простоту, эффективность и надежность. Он предоставляет арсенал практических такт для практикующих специалистов в области безопасности и хакеров, помогая вам тестировать свои системы, создавать и автоматизировать инструменты под свои нужды, а также улучшать набор ваших наступательных навыков. И все это с использование силы Go.

Мы начнем путешествие с базового обзора синтаксиса и философии Go, а затем приступим к изучению примеров, которые вы сможете применить для разработки инструментов, с использованием популярных сетевых протоколов типа HTTP, DNS и SMB. Далее мы углубимся в различные тактики и проблемы, с которыми сталкиваются пентестеры, включая такие вещи, как извлечение данных, сниффинг пакетов и разработка эксплоитов. Вы будете создавать динамические, модульные инструменты, после чего мы углубимся в криптографию, атаки на Microsoft Windows и реализацию стеганографии.

Вы научитесь:

• Создавать производительные инструменты, которые можно будет использовать для ваших собственных проектов в области безопасности
• Создавать практичные инструменты для взаимодействия с удаленными API
• Скрейпить произвольные HTML-данные
• Использовать стандартный пакет Go, net/http, для создания HTTP-серверов
• Создавать свой собственный DNS сервер и прокси
• Использовать DNS-туннелирование для установления С2-канала из ограниченной сети наружу
• Создавать фаззер уязвимостей для обнаружения слабых мест в безопасности приложений
• Использовать плагины и расширения для современных продуктов
• Создавать брутфорсер под RC2 и симметричные ключи
• Имплантировать данные в изображения Portable Network Graphics (PNG)

Готовы пополнить свой арсенал инструментов безопасности? Тогда вперед!

Для кого эта книга

Эта книга предназначена для всех, кто хочет узнать, как разрабатывать свои собственные хакерские инструменты с использованием языка Go. На протяжении наших профессиональных карьер, и особенно в качестве консультантов, мы отстаивали позицию, что программирование является фундаментальным навыком для тестировщиков на проникновение (пентестеров) и специалистов в области безопасности. Если говорить конкретнее, то умение создавать код расширяет ваше понимание того, как программное обеспечение работает, и как может быть нарушено его нормальное функционирование. Кроме того, если вы побываете в шкуре разработчика, то получите более целостное понимание проблем, с которыми они сталкиваются при защите программного обеспечения, и вы сможете воспользоваться своим собственным опытом, чтобы рекомендовать более эффективные способы смягчения последствий угроз безопасности, отсеивать ложноположительные срабатывания и обнаруживать скрытые уязвимости. Программирование зачастую вынуждает вас взаимодействовать со сторонними библиотеками, различными стеками приложений и фреймворками. Для большинства людей (включая и нас, авторов) программирование - это практический опыт и экспериментирование, ведущее нас к максимальному личностному развитию.

Чем не является эта книга

Эта книга не является введением в программирование на Go в целом. Она является введением в использование Go для разработки инструментов в области безопасности. В первую очередь мы - хакеры, и лишь затем программисты, именно в таком порядке. Никто из нас, авторов, никогда не работал разработчиком программного обеспечения. Это значит, что мы, как хакеры, делаем особый упор на функционирование, а не на элегантность. Во множестве случаев мы делаем выбор в пользу написания кода так, как это делают хакеры, вне зависимости от определенных идиом или наилучших практик разработки программного обеспечения. У нас, как у консультантов, время всегда в дефиците; разработка простого кода зачастую выполняется быстрее и, как следствие, является более предпочтительной, чем разработка элегантного кода. Когда вам нужно быстро создать решение для проблемы, вопросы стиля отходят на второй план.

Это наверняка разозлит приверженцев чистоты языка Go, которые скорее всего твитнут по поводу того, что мы не обрабатываем все ошибочные условия изящным образом, что наши примеры могли быть оптимизированы, или что для достижения желаемых результатов доступны более хорошие конструкции или методы. В большинстве случаев мы не заинтересованы в том, чтобы научить вас самым лучшим, самым элегантным и на 100% идиоматическим решениям, если только это не позволит конкретным образом улучшить конечный результат. Несмотря на то, что мы вкратце затронем синтаксис языка, мы сделаем это исключительно ради того, чтобы заложить базовый фундамент, на основе которого мы сможем создавать наши инструменты. В конце концов, это не книга на тему “Учимся программировать на Go элегантно” - это “Black Hat Go”.

Спойлер: Отказ от ответственности

Примеры в этой книге полностью вымышлены. Описываемые инструменты и техники имеют открытый исходный код, а следовательно - доступны публично. Специалисты по безопасности и пентестеры регулярно используют их в своей работе, также как и атакующие. Если вы стали жертвой компьютерного преступления и обнаружили в этой книге демонстрацию техник или инструментов, то это никоим образом не означает, что автору этой книги и переводчику можно инкриминировать любую связь с компьютерным преступлением, содержимое этой книги не дает никаких оснований полагать, что есть какая-либо связь между автором книги/переводчиком и преступниками.

Любые действия и/или деятельность, связанные с материалом, содержащимся в этой книге, находятся целиком под вашей ответственностью. Неправильное использование информации из этой книги может стать результатом обвинений в совершении уголовного правонарушения в адрес соответствующих лиц. Автор и переводчик не несут никакой ответственности за деяния лиц, использующих информацию из этой книги в преступных целях.

Эта книга не призывает заниматься хакерством, взломом программного обеспечения и/или пиратством. Вся информация, представленная в книге, предназначена исключительно в образовательных целях. Она призвана помочь организациям защитить свои сети от атакующих, а следователям собрать цифровые улики во время расследования инцидентов.

Совершение любых попыток по хакингу/взлому систем или тестирование систем на проникновение должно сопровождаться письменным разрешением от владельцев данных систем.

Спойлер

Авторы: Стил, Паттен, Коттманн
Оригинальное название: Black Hat Go: Go Programming for Hackers and Pentesters
Издательство: No Starch Press
Год издания: 2020
Объем в оригинале: ~592 стр.
Объем первой части перевода: главы 3-4
Тип перевода: перевод на русский
Формат: текст, PDF

Код:

https://nostarch.com/blackhatgo

 

Спойлер: Сэмпл перевода

Содержание второй части перевода:

3. HTTP-клиенты: удаленное взаимодействие с инструментами

• Основы HTTP с Go
• Вызов HTTP APIs
• Генерация запроса
• Парсинг структурированных ответов
• Создание HTTP-клиента, взаимодействующего с Shodan
• Пересмотр шагов для создания API клиента
• Проектирование структуры проекта
• Очистка вызовов API
• Отправка запросов по вашей подписке на Shodan
• Создание клиента
• Взаимодействие с Metasploit
• Определение вашей цели
• Получение валидного токена
• Определение методов запросов и ответов
• Создание структуры конфигурации и RPC-метода
• Выполнение удаленных вызовов
• Создание программы-утилиты
• Парсинг метаданных документов с помощью скрапинга Bing
• Настройка окружения и планирование
• Определение пакета metadata
• Маппинг данных в структуры
• Поиск и получение файлов с Bing

4. HTTP-серверы: маршрутизация и промежуточное ПО

• Основы HTTP-сервера
• Создание простого сервера
• Создание простого маршрутизатора
• Создание простого промежуточного ПО
• Маршрутизация с пакетом gorilla/mux
• Создание промежуточного ПО с Negroni
• Добавление аутентификации с Negroni
• Использование шаблонов для создания HTML-ответов
• Атака со сбором учетных данных
• Кейлоггинг с WebSocket API
• Мультиплексирование командования и управления (Meterpreter)