Como APRENDER A

HACKEAR em 2023

I N T E N S I VÃ O
cat HOJE.txt
Eu acredito que o melhor jeito de
aprender hacking é hackeando.

Você não vai dominar e aprender

hacking só com livros e teorias.

cat hackear.txt

Ambiente pra hackear

1. O hacker — É você que vai fazer o ataque


2. O alvo — o que você precisa: ferramentas

de ataque. 



Qualquer sistema pode ser usado para

hackear. Existem várias distribuições linux e
qualquer pessoa pode mudar de acordo com
as suas necessidades.

3. O resultado — As informações que você vai

coletar e analisar para hackear o seu alvo.
cat hackear.txt
AMBIENTE HACKER

Offensive Security

→ prestam serviços de segurança no mercado.

Possuem cursos, formações, prestam

serviços de pentest e o principal: mantém um
sistema operacional para hacking, o Linux dos
hackers — Kali linux.

O Kali Linux possui ferramentas prontas. É um

atalho.

configurações

vm wsl2 vps

Na VM instalamos a imagem para máquina virtual e

não a ISO. O processo é muito mais fácil.

São duas imagens, uma para VMWare e outra para

VirtualBox

A longo prazo, a VMware pode ser uma boa escolha.

cat hackear.txt
virtual machine (vm)

Acesse a página do Kali Linux

e clique em Downloads
Site: https://kali.org

Escolha a opção para VM

Nossa máquina do kali pronta

será baixada em um formato .ova
cat hackear.txt
virtual machine (vm)

Vamos fazer a instalação da

VM em nossa máquina local.

Faça o download
também da sua
VirtualBox.

Site: https://virtualbox.org

No Windows ou macOS basta

seguir as etapas de instalação do
sistema.
cat hackear.txt
virtual machine (vm)

Lembre-se: essa é uma

imagem pronta. Tudo já
está configurado pra que a
gente possa usar o Kali

Tudo pronto pra rodarmos

nossa máquina. Vamos
nessa!

O acesso ao Kali se dá
com o login kali:kali

Importante: a virtualização não é um

processo simples, garantido.

Pode dar muitos problemas e você terá que

resolvê-los com o google.
 cat hackear.txt
termux

Hackeando no Android: existe

uma aula bônus na plataforma
para instalar o Kali no seu
Android e utilizar o terminal.

→ Você pode fazer isso com o Site: https://termux.org

Termux.

Aproveite as aulas liberadas no

grupo do whatsapp focadas em
mobile hacking!

CLOUD COMPUTING - VPS

Criando uma máquina na nuvem: aqui você pode

alugar um computador e criar uma máquina do kali ou
qualquer outra distribuição linux.

Também é possível usar máquinas gratuitas (elas

possuem limitações, mas são o suficiente para iniciar
no hacking).

Você pode conferir essa máquina grauita na AWS.

 cat hackear.txt
Digital Ocean
Vamos usar o link da DigitalOcean que nos
fornece um bõnus de R$500 para utilizar a
VPS.

Confira o link no grupo do whatsapp para

garantir seu bõnus!

preparando nosso ambiente

Na plataforma DigitalOcean você cria

droplets (as máquinas virtuais).

Site: https://www.digitalocean.com

Vamos criar nossa

conta. Você pode fazer
isso com seu login do
google para facilitar o
processo.
 cat hackear.txt
droplets
Quando estivemos logados, podemos usar o
ambiente cloud.digitalocean.com.

Nele, conseguimos acessar nossos projetos

diretamente.

Aqui criamos
nossas máquinas
virtuais,

Aqui podemos criar

novos projetos.

Vamos selecionar as
configurações da nossa
máquina: tipo, plano e
servidor. Escolha as que
você desejar.
 cat hackear.txt
Secure shell (ssh)
Na opção de autenticação, podemos
selecionar o método com senha.

Nós vamos utilizar essa senha + o endereço ip

da máquina que será criada para acessá-la
através do terminal,

Já podemos criar nossa máquina! Adicione um

nome a ela e salve as suas configurações.

Vamos copiar nosso IPv4

para usar no terminal com o
seguinte comando:

ssh meuuser@ipremoto
 cat hackear.txt
autenticação

Como funciona o acesso com SSH?

SSH é um serviço para comunicação remota —

usamos para conectar nos sistemas ou servidores
através desse protocolo.
Podemos usar esse comando
no terminal do macOS, cmd
do Windows ou no terminal
do WSL (Windows Subsystem
for Linux)

No Windows temos também o

PUTTY que abre uma espécie de
terminal, para facilitar a conexão.

Embora ajude, isso requer passos

de instalação a mais.

Como trabalhar num sistema linux, usar o Kali

e as suas ferramentas?

Fazemos isso na maior parte do tempo com o

terminal para fazer ataques.
 cat hackear.txt
WINDOWS SUBSYSTEM FOR LINUX (WSL2)

Vamos abrir a loja da Microsoft e instalar o Kali ou

Ubuntu.

Você também pode instalar o novo terminal do

Windows pela loja da microsoft.

Com ele é possível usar todos os terminais em

abas diferentes e ter um maior controle das suas
sessões.

Vamos usar o Powershell para

instalar direto pelo terminal.
Depois da instalação, basta
configurar uma nova conta.
 cat hackear.txt
WINDOWS SUBSYSTEM FOR LINUX (WSL2)

Além disso, é possível usar o Kali Linux no WSL

com interface gráfica!

A própria equipe do Kali Linux possui uma

documentação e o passo a passo de instalação
para realizarmos as configurações da GUI.

Esse sistema é denominado KeX e existem

diversas versões para a instalação do sistema.
cat hackear.txt
linux

Podemos usar a whatweb para conseguir

informações de um site como o terra, por exemplo.
O Nmap para fazer um scanning das portas e
serviços do site.

Caso você tenha dificuldades ou não esteja

familiarizado com o Linux, gravei uma aula: como
utilizar o linux, no canal do YouTube pra quem
nunca estudou sobre isso antes.

ferramentas

Como saber as ferramentas que vamos utilizar?

Você deve aprender como usar o terminal e os

principais comandos linux.

Por isso, vou deixar aqui dois links para estudo.

Guia Foca Linux Explain Shell

cat hackear.txt
FLAGS
O explain shell te ajudará a entender o que
cada comando faz.

Os comandos possuem parâmetros também, as

chamadas flags: por exemplo ”ping google.com -t 10”

Você pode pegar o livro e começar a estudar — mas

isso não tem prática. Praticamos aprender tentando
hackear, nos desafiando.

web hacking

Abre um site como o do terra ou yahoo (muito bom

para bug bounty) — olha o código fonte das coisas,
procura os comentários.

Podemos pegar uma imagem do site, copiar o

endereço dessa imagem e colar em um bloco de
notas. Assim, conseguimos visualizar diversos
diretórios e entender a estrutura de um site, por
exemplo.
cat hackear.txt
O que acontece se começarmos a navegar
nos diretórios dos sites? Será que
conseguimos encontrar alguma coisa?

Podemos olhar os metadados de uma

imagem com o exiftool — tudo é coisa para
ser analisada.

Podemos filtrar um site e procurar por painéis

de login ou informações específicas

Podemos fazer tudo isso manualmente —

assim, as ferramentas entram como um
complemento.

Esses sites, porém, não são recomendados

para serem hackeados fora de um programa
de recompensas, por exemplo.
cat hackear.txt
treinamentos
Existem plataformas pra você aprender e começar
a hackear como o TryhackMe. Nele possuem vários
sistemas com temáticas diferentes pra você
hackear.

A plataforma utiliza uma vpn — openvpn pra você

se conectar aos servidores da TryHackMe e invadir
as máquinas.

Digamos que agora a gente queira aprender sobre

o nmap — existe uma ”sala” no THM somente para
aprendermos sobre a ferramenta.
Além da nossa máquina hacker, podemos usar a
própria máquina da TryHackMe com o ParrotOS

desafio hacker
Se você quer ganhar hackeando enquanto estuda:
quero te desafiar a caçar falhas em programas de
Bug Bounty.

Coloque em prática tudo o que você for aprendendo

no TDI.

Uma plataforma boa pra isso e muito utilizada é a

hackerone.

O que move o hacking é a curiosidade.

cat hackear.txt
Desafio pra próxima aula:

→ Conta na hackerone

→ Livro web hacking 101

Escolha uma das falhas:

→ Open redirect

→ HTML Injection

→ IDOR

→ HTTP Parameter Pollution

estudo

Você terá que estudar a falha escolhida nesse livro de

web hacking.

Lembre-se: aumentar sua base e suas falhas, conforme

a necessidade daquele alvo!

Se acostume com o universo de hacking: aprenda em

inglês, traduza se for necessário, mas mantenha a
mentalidade de se desafiar, se virar para aprender!
cat 6-passos.txt
toca do coelho
Essa ideia toda que discutimos é o que está por
trás do técnicas de invasão.

Na plataforma você recebe um guia, um passo a

passo, para estudar e aprender sobre os
conteúdos e a base também.

Existem desafios, laboratórios e as aulas são

detalhadas e bem explicadas — literalmente
desenhadas na tela — pra você entender e
aprender.

Monte sua base e foque nas falhas!

python - a linguagem dos hackers

Vamos aprender essa linguagem voltada para o

hacking para nos ajudar com as ferramentas, os
comandos e automatizar os processos.

Um site para o nosso ambiente de python é o

REPL.IT

Não é preciso instalar ou baixar nada: você faz

tudo isso pelo navegador!
Site: https://replit.com
cat 6-passos.txt
requisições web
Podemos usar uma ferramenta de REQUESTS.
Usamos pelo devtools na aba network.

Também podemos automatizar o processo de

requisições com o python requests.

Para esses estudos, é importante a gente

entender os STATUS CODES de requisições HTTP.
Um guia excelente é o da Mozilla — MDN

Imagina que podemos fazer uma lista com todos

os diretórios do nosso alvo:

wordlists
Isso nos leva a outro conceito muito usado em
hacking: wordlists.

Usamos para encontrar senhas, diretórios,

enumerar sites, etc.

A lista de diretórios é uma

wordlist MAPEADA com os
diretórios mais usados por
programadores, diretórios
mais explorados por hackers.

https://github.com/danielmiessler/SecLists
cat 6-passos.txt
Essa verificação é muito dispendiosa pra ser feita
manualmente, então podemos importar a lista ou
escrever um programa pra fazer isso de forma
automatizada.

No hacking muitas vezes precisamos tentar

repetir tarefas, valores, etc. Então a programação
nos ajuda com isso.

Existem ferramentas já prontas como o dirb que

fazem isso, como o comando:

dirb https://site.com

A programação nos ajuda a não apenas criar as

ferramentas, mas entender os códigos que
vamos analisar.

fortalecendo a base
Sistema Operacional + Terminal + Python.

Falhas e mais falhas!

Monta sua base, pega os comandos, vai nas

aulas do TDI e pratica.

Foque na prática: foque em aprender e colocar

na prática.
cat sorteios.txt
Teremos sorteio de livros + Café do TDI!

Confira nossa material no grupo do whatsapp.

Próxima aula — as 3 etapas de um ataque hacker!

Você vai aprender o passo a passo para hackear.
Nossa próxima aula é pra entender também as
ferramentas.

Vamos usar também o Burp Suite como

ferramenta.

cat hackers.txt
#HackerHackeia

Não esqueça de tirar um print dos seus

estudos e compartilhar conosco no Instagram
usando a hashtag #HackerHackeia

@legiaodotecnicas
I N T E N S I VÃ O