Poglavlje 1 — Mindset, Etika & Lab Setup

HACKING 101: THE BLOODCODE PENTESTING PLAYBOOK From Zero to First Shell — Kali, Burp, Nmap & Beyond AUTOR: Stefan Spasov — BloodCode Ethical Hacker | Red Teamer | One of Top 5 Hackers Worldwide ──────────────────────────────────────────────────────────────── PREDGOVOR ──────────────────────────────────────────────────────────────── Ova knjiga nije nastala u učionici. Nastala je u mraku — sa tri monitora, Kali terminalom otvorenim u 3 ujutro, i onim tihim zadovoljstvom kada vidite: root@target:~# Ne postoji opis za taj osećaj. Ne možeš ga kupiti. Možeš ga samo zaraditi — satima u laboratorijama, stotinama neuspelih exploita, i onim jednim trenutkom kada sve klikne. Ja sam Stefan Spasov. BloodCode. Proveo sam godine kao etički haker i red teamer — testirajući sisteme koji bi, da padnu, mogli da donesu ozbiljne posledice. Banke. Infrastruktura. Korporativne mreže. Vladini sistemi. ──────────────────────────────────────────────────────────────── POGLAVLJE 1 — MINDSET, ETIKA & LAB SETUP "Haker nije onaj ko zna najviše komandi. Haker je onaj ko ne odustaje." — BloodCode ──────────────────────────────────────────────────────────────── 1.1 HACKER MINDSET — Kako razmišlja napadač ──────────────────────────────────────────────────────────────── Postoji jedna stvar koja razdvaja prosečnog IT stručnjaka od hakera, i ona nema veze sa znanjem. Ima veze sa načinom razmišljanja. Kada prosečan sysadmin vidi login formu, razmišlja: "Ovo je ulaz za autorizovane korisnike." Kada haker vidi login formu, razmišlja: "Šta se dešava ako stavim ' u username polje? Šta ako username bude 10.000 karaktera? Šta ako pošaljem NULL? Šta ako interceptujem taj request i promenim user_id? Da li postoji /admin iza ovoga? Ko je pisao ovaj kod i koje greške najčešće pravi?" Ovo nije paranoja. Ovo je ADVERSARIAL THINKING — razmišljanje kao neprijatelj sistema koji testiraš. Svaki sistem, svaka aplikacija, svaki protokol je neko napravio. A svaki čovek greši. Tvoj posao kao pentestera je da pronađeš te greške PRE nego što ih nađe neko sa lošim namerama. ── ZLATNA PRAVILA HACKER MINDSET-A ── PRAVILO 1: PITAJ "ŠTA AKO..." Nikad ne uzimaj ništa zdravo za gotovo. "Šta ako ova API ruta ne proverava autentifikaciju?" "Šta ako mogu da promenim file path u ovom parametru?" "Šta ako ovaj servis radi kao root?" PRAVILO 2: ENUMERATE SVE Najčešća greška početnika je da skoče direktno na exploitation. Pravi hakeri provode 70% vremena u recon i enumeration fazi. Ne možeš napadati ono što ne znaš da postoji. PRAVILO 3: DOKUMENTUJ SVE Svaki korak. Svaka komanda. Svaki screenshot. Bez dokumentacije — nisi pentester. Ti si vandal. Klijent plaća za izveštaj, ne za exploit. PRAVILO 4: NIKAD NE PRETPOSTAVLJAJ OPSEG Uvek pročitaj Rules of Engagement pre nego što počneš. PRAVILO 5: PAZI NA BLAST RADIUS Agresivni skenovi — uvek van radnog vremena. PRAVILO 6: CONTINUOUS LEARNING CVE koji nije postojao jutros — večeras je exploit kit. Ako ne učiš svaki dan, zaostao si. ──────────────────────────────────────────────────────────────── 1.2 ETIKA I ZAKON ──────────────────────────────────────────────────────────────── Postoji JEDNA stvar koja razdvaja etičkog hakera od kriminalca: PISANA DOZVOLA To je sve. Ista tehnika. Isti exploit. Isti alati. Sa dozvolom — legalan posao koji ti donosi novac i reputaciju. Bez dozvole — krivično delo sa zatvorskom kaznom. ──────────────────────────────────────────────────────────────── 1.3 LAB SETUP — Tvoja virtuelna hakerska laboratorija ──────────────────────────────────────────────────────────────── HARDVER MINIMUM: CPU: 4 jezgra (Intel i5 / AMD Ryzen 5 ili bolje) RAM: 16GB (8GB minimum) Disk: 100GB slobodnih (SSD ako možeš) SOFTVER: Hypervisor: VirtualBox (besplatan) ili VMware Workstation Pro Napadačka mašina: Kali Linux Meta mašine: VulnHub download-ovi