COMO APRENDER

HACKING HACKEANDO

@planohacking
 cat HOJE.txt

Eu acredito que o melhor jeito de

aprender hacking é hackeando.

Você não vai dominar e aprender

hacking só com livros e teorias.

cat hackear.txt

Ambiente pra hackear

1. O hacker — É você que vai fazer o ataque


2. O alvo — o que você precisa: ferramentas

de ataque. 



Qualquer sistema pode ser usado para

hackear. Existem várias distribuições linux e

qualquer pessoa pode mudar de acordo com

as suas necessidades.

3. O resultado — As informações que você vai

coletar e analisar para hackear o seu alvo.

@planohacking
 cat hackear.txt

AMBIENTE HACKER

Offensive Security

→ prestam serviços de segurança no mercado.

Possuem cursos, formações, prestam

serviços de pentest e o principal: mantém um

sistema operacional para hacking, o Linux dos

hackers — Kali linux.

O Kali Linux possui ferramentas prontas. É um

atalho.

configurações

vm wsl2 vps

Na VM instalamos a imagem para máquina virtual e

não a ISO. O processo é muito mais fácil.

São duas imagens, uma para VMWare e outra para

VirtualBox

A longo prazo, a VMware pode ser uma boa escolha.

@planohacking
 cat hackear.txt

virtual machine (vm)

Acesse a página do Kali Linux

e clique em Downloads

Site: https://kali.org

Escolha a opção para VM

Nossa máquina do kali pronta

será baixada em um formato .ova

@planohacking
 cat hackear.txt

virtual machine (vm)

Vamos fazer a instalação da

VM em nossa máquina local.

Faça o download

também da sua

VirtualBox.

Site: https://virtualbox.org

No Windows ou macOS basta

seguir as etapas de instalação do

sistema.

@planohacking
 cat hackear.txt

virtual machine (vm)

Lembre-se: essa é uma

imagem pronta. Tudo já

está configurado pra que a

gente possa usar o Kali

Tudo pronto pra rodarmos

nossa máquina. Vamos

nessa!

O acesso ao Kali se dá

com o login kali:kali

Importante: a virtualização não é um

processo simples, garantido.

Pode dar muitos problemas e você terá que

resolvê-los com o google.

@planohacking
 cat hackear.txt

termux

Hackeando no Android: existe

uma aula bônus na plataforma

para instalar o Kali no seu

Android e utilizar o terminal.

→ Você pode fazer isso com o

Site: https://termux.org
Termux.

Aproveite as aulas liberadas no

grupo do whatsapp focadas em

mobile hacking!

CLOUD COMPUTING - VPS

Criando uma máquina na nuvem: aqui você pode

alugar um computador e criar uma máquina do kali ou

qualquer outra distribuição linux.

Também é possível usar máquinas gratuitas (elas

possuem limitações, mas são o suficiente para iniciar

no hacking).

Você pode conferir essa máquina grauita na AWS.

@planohacking
 cat hackear.txt

Digital Ocean

Vamos usar o link da DigitalOcean que nos

fornece um bõnus de R$500 para utilizar a

VPS.

Confira o link no grupo do whatsapp para

garantir seu bõnus!

preparando nosso ambiente

Na plataforma DigitalOcean você cria

droplets (as máquinas virtuais).

Site: https://www.digitalocean.com

Vamos criar nossa

conta. Você pode fazer

isso com seu login do

google para facilitar o

processo.

@planohacking
 cat hackear.txt

droplets

Quando estivemos logados, podemos usar o

ambiente cloud.digitalocean.com.

Nele, conseguimos acessar nossos projetos

diretamente.

Aqui criamos

nossas máquinas

virtuais,

Aqui podemos criar

novos projetos.

Vamos selecionar as

configurações da nossa

máquina: tipo, plano e

servidor. Escolha as que

você desejar.

@planohacking
 cat hackear.txt

Secure shell (ssh)

Na opção de autenticação, podemos

selecionar o método com senha.

Nós vamos utilizar essa senha + o endereço ip

da máquina que será criada para acessá-la

através do terminal,

Já podemos criar nossa máquina! Adicione um

nome a ela e salve as suas configurações.

Vamos copiar nosso IPv4

para usar no terminal com o

seguinte comando:

ssh meuuser@ipremoto

@planohacking
 cat hackear.txt

autenticação

Como funciona o acesso com SSH?

SSH é um serviço para comunicação remota —

usamos para conectar nos sistemas ou servidores

através desse protocolo.

Podemos usar esse comando

no terminal do macOS, cmd

do Windows ou no terminal

do WSL (Windows Subsystem

for Linux)

No Windows temos também o

PUTTY que abre uma espécie de

terminal, para facilitar a conexão.

Embora ajude, isso requer passos

de instalação a mais.

Como trabalhar num sistema linux, usar o Kali

e as suas ferramentas?

Fazemos isso na maior parte do tempo com o

terminal para fazer ataques.

@planohacking
 cat hackear.txt

WINDOWS SUBSYSTEM FOR LINUX (WSL2)

Vamos abrir a loja da Microsoft e instalar o Kali ou

Ubuntu.

Você também pode instalar o novo terminal do

Windows pela loja da microsoft.

Com ele é possível usar todos os terminais em

abas diferentes e ter um maior controle das suas

sessões.

Vamos usar o Powershell para

instalar direto pelo terminal.

Depois da instalação, basta

configurar uma nova conta.

@planohacking
 cat hackear.txt

WINDOWS SUBSYSTEM FOR LINUX (WSL2)

Além disso, é possível usar o Kali Linux no WSL

com interface gráfica!

A própria equipe do Kali Linux possui uma

documentação e o passo a passo de instalação

para realizarmos as configurações da GUI.

Esse sistema é denominado KeX e existem

diversas versões para a instalação do sistema.

@planohacking
 cat hackear.txt

linux

Podemos usar a whatweb para conseguir

informações de um site como o terra, por exemplo.

O Nmap para fazer um scanning das portas e

serviços do site.

Caso você tenha dificuldades ou não esteja

familiarizado com o Linux, gravei uma aula: como

utilizar o linux, no canal do YouTube pra quem

nunca estudou sobre isso antes.

ferramentas

Como saber as ferramentas que vamos utilizar?

Você deve aprender como usar o terminal e os

principais comandos linux.

Por isso, vou deixar aqui dois links para estudo.

Guia Foca Linux Explain Shell

@planohacking
 cat hackear.txt

FLAGS

O explain shell te ajudará a entender o que

cada comando faz.

Os comandos possuem parâmetros também, as

chamadas flags: por exemplo ”ping google.com -t 10”

Você pode pegar o livro e começar a estudar — mas

isso não tem prática. Praticamos aprender tentando

hackear, nos desafiando.

web hacking

Abre um site como o do terra ou yahoo (muito bom

para bug bounty) — olha o código fonte das coisas,

procura os comentários.

Podemos pegar uma imagem do site, copiar o

endereço dessa imagem e colar em um bloco de

notas. Assim, conseguimos visualizar diversos

diretórios e entender a estrutura de um site, por

exemplo.

@planohacking
 cat hackear.txt

O que acontece se começarmos a navegar

nos diretórios dos sites? Será que

conseguimos encontrar alguma coisa?

Podemos olhar os metadados de uma

imagem com o exiftool — tudo é coisa para

ser analisada.

Podemos filtrar um site e procurar por painéis

de login ou informações específicas

Podemos fazer tudo isso manualmente —

assim, as ferramentas entram como um

complemento.

Esses sites, porém, não são recomendados

para serem hackeados fora de um programa

de recompensas, por exemplo.

@planohacking
 cat hackear.txt

treinamentos

Existem plataformas pra você aprender e começar

a hackear como o TryhackMe. Nele possuem vários

sistemas com temáticas diferentes pra você

hackear.

A plataforma utiliza uma vpn — openvpn pra você

se conectar aos servidores da TryHackMe e invadir

as máquinas.

Digamos que agora a gente queira aprender sobre

o nmap — existe uma ”sala” no THM somente para

aprendermos sobre a ferramenta.

Além da nossa máquina hacker, podemos usar a

própria máquina da TryHackMe com o ParrotOS

desafio hacker

Se você quer ganhar hackeando enquanto estuda:

quero te desafiar a caçar falhas em programas de

Bug Bounty.

Coloque em prática tudo o que você for aprendendo

no TDI.

Uma plataforma boa pra isso e muito utilizada é a

hackerone.

O que move o hacking é a curiosidade.

@planohacking
 cat hackear.txt

Desafio pra próxima aula:

→ Conta na hackerone

→ Livro web hacking 101

Escolha uma das falhas:

→ Open redirect

→ HTML Injection

→ IDOR

→ HTTP Parameter Pollution

estudo

Você terá que estudar a falha escolhida nesse livro de

web hacking.

Lembre-se: aumentar sua base e suas falhas, conforme

a necessidade daquele alvo!

Se acostume com o universo de hacking: aprenda em

inglês, traduza se for necessário, mas mantenha a

mentalidade de se desafiar, se virar para aprender!

@planohacking
 cat 6-passos.txt

toca do coelho

Essa ideia toda que discutimos é o que está por

trás do técnicas de invasão.

Na plataforma você recebe um guia, um passo a

passo, para estudar e aprender sobre os

conteúdos e a base também.

Existem desafios, laboratórios e as aulas são

detalhadas e bem explicadas — literalmente

desenhadas na tela — pra você entender e

aprender.

Monte sua base e foque nas falhas!

python - a linguagem dos hackers

Vamos aprender essa linguagem voltada para o

hacking para nos ajudar com as ferramentas, os

comandos e automatizar os processos.

Um site para o nosso ambiente de python é o

REPL.IT

Não é preciso instalar ou baixar nada: você faz

tudo isso pelo navegador!

Site: https://replit.com

@planohacking
 cat 6-passos.txt

requisições web

Podemos usar uma ferramenta de REQUESTS.

Usamos pelo devtools na aba network.

Também podemos automatizar o processo de

requisições com o python requests.

Para esses estudos, é importante a gente

entender os STATUS CODES de requisições HTTP.

Um guia excelente é o da Mozilla — MDN

Imagina que podemos fazer uma lista com todos

os diretórios do nosso alvo:

wordlists

Isso nos leva a outro conceito muito usado em

hacking: wordlists.

Usamos para encontrar senhas, diretórios,

enumerar sites, etc.

A lista de diretórios é uma

wordlist MAPEADA com os

diretórios mais usados por

programadores, diretórios

mais explorados por hackers.

https://github.com/danielmiessler/SecLists

@planohacking
 cat 6-passos.txt

Essa verificação é muito dispendiosa pra ser feita

manualmente, então podemos importar a lista ou

escrever um programa pra fazer isso de forma

automatizada.

No hacking muitas vezes precisamos tentar

repetir tarefas, valores, etc. Então a programação

nos ajuda com isso.

Existem ferramentas já prontas como o dirb que

fazem isso, como o comando:

dirb https://site.com

A programação nos ajuda a não apenas criar as

ferramentas, mas entender os códigos que

vamos analisar.

fortalecendo a base

Sistema Operacional + Terminal + Python.

Falhas e mais falhas!

Monta sua base, pega os comandos, vai nas

aulas do TDI e pratica.

Foque na prática: foque em aprender e colocar

na prática.

@planohacking
 cat sorteios.txt

Teremos sorteio de livros + Café do TDI!

Confira nossa material no grupo do whatsapp.

Próxima aula — as 3 etapas de um ataque hacker!

Você vai aprender o passo a passo para hackear.

Nossa próxima aula é pra entender também as

ferramentas.

Vamos usar também o Burp Suite como

ferramenta.

cat hackers.txt

#HackingEm2022

Não esqueça de tirar um print dos seus

estudos e compartilhar conosco no Instagram

usando a hashtag #HackingEm2022:

@igdotdi

@planohacking
@planohacking