Pentester-Grundlagen & CTF-Praxis.
Skill-Rubric für Senior-Tester, Repo-Archäologie für Security-Engineers und die CTF-Tool- und Infrastruktur-Referenzen, die die Praxis scharf halten.
Senior-Tester-Kompetenzen
- Reconnaissance. Kann aus öffentlichen Quellen ein Asset-Inventar eines Ziels mit Konfidenz pro Asset bauen. Weiß, wann aktives Scanning der nächste Schritt ist und wann nicht.
- Web-Anwendung. Kann jede Klasse der OWASP Top 10 aus dem Kopf identifizieren, exploiten und reporten. Kann mindestens Python-, JS- und Java-Source lesen, um einen Befund zu verifizieren.
- Identity und AD. Kann BloodHound laufen lassen, den Output lesen und die richtige Kante wählen. Versteht Kerberos-Delegation gut genug, um zu waffenisieren und zu verteidigen.
- Netzwerk und Pivoting. Kann einen SOCKS-Pivot, einen Reverse-Tunnel durch HTTPS und eine Multi-Hop-ligolo-Kette ohne Doku-Referenz aufsetzen. Weiß, wann was die richtige Wahl ist.
- Cloud. Mindestens in AWS oder Azure zu Hause: IAM-Modell, Metadata-Service-Missbrauch, gängige SaaS-Trust-Pivot-Muster.
- Detektion. Weiß, wie jede Technik in Sysmon / Defender / Crowdstrike aussieht. Wählt Tools nach IOC-Profil, nicht nach Vertrautheit.
- Reporting. Schreibt Befunde, die ein Executive-Review überstehen, ohne technische Korrektheit zu verlieren. Reproduzierbare Schritte für jede Behauptung.
Git als Recon-Oberfläche
- Secret-Hunting in der History.
trufflehog filesystem --since-commit HEAD~1000 .,gitleaks detect. Secrets, die aus HEAD entfernt wurden, bleiben oft in der History; auch alte Branches und Tags prüfen. - Autor-Archäologie.
git log --pretty=format:'%an %ae' | sort -ufür die Contributor-Liste — füttert OSINT für Phishing-Recon. Commit-Timestamps verraten Arbeitszeiten. - Fork-Vergleich für Vuln-Triage. Wenn Upstream eine CVE patcht, sagt
git log upstream/main..fork/main, welche Downstream-Forks den Fix nicht gezogen haben. - Reflog und Unreachable Commits.
git fsck --lost-foundstellt committed-und-orphaned-Secrets wieder her, von denen der Autor dachte, sie wären gelöscht. - GitHub-spezifisch.
github-search-Tooling für org-weite Suche; gelöschte Fork-Commits bleiben via API ~90 Tage sichtbar.
CTF-Tools fürs Muskelgedächtnis
- Web. Burp Suite (mit Extender-Keymaps), ffuf, sqlmap, gobuster.
- Binary. Ghidra, gdb + GEF, pwntools, ROPgadget, one_gadget.
- Crypto. sage, cryptohack-Solver, RsaCtfTool.
- Forensik. volatility3, autopsy, binwalk, exiftool, foremost.
- Steg. stegsolve, zsteg, stegseek, Audacity für Audio.
- Network/Reverse. Wireshark mit Custom-Dissectors, scapy zum Crafting.
Eine private Attack/Defense-Range bauen
- VPN-Topologie. WireGuard-Hub, ein /24 pro Team. Egress nur zum Scoring-Loop.
- Verwundbare Services. Das geseedete Vuln-Set alle 15 Minuten aus einer kuratierten Bank historischer CVEs rotieren — verhindert, dass Teilnehmer auf gestrigen Exploits ausruhen.
- Scoring-Loop. Out-of-Band-Agent pro Service, der SLA-Checks (Verfügbarkeit, Korrektheit) und Flag-Rotation ausführt. Agent läuft in einem Netz, das die Teams nicht erreichen.
- Replay-Capture. tcpdump im Scoring-Netz für After-Action-Review. Das meiste Lernen passiert im Replay, nicht im Live-Spiel.
FaustregelCTFs schärfen spezifische Muskeln. Sie ersetzen keine echten Engagements. Ein Senior-Tester macht beides: regelmäßige CTF-Praxis für Technik-Schärfe und echte Kundenarbeit für Urteilskraft kalibriert auf Produktionsumgebungen.
Verwandte Notizen in dieser Domain
- Featured Umfassende Pentest-Referenz
- Featured Pentest-Methodik — kanonische Referenz
- Featured Advanced Pentest & Red Team
- Featured Recon & Discovery
- Featured Web Server — Angriff & Verteidigung
- Featured Active Directory Pentest
- Featured Internal Pivoting & Lateral Movement
- Referenz Recon-Tooling — Operator-Referenz
- Referenz Operator-Toolkits — Katalog & Referenz
- Referenz Automatisierung vs. manuelles Testing
- Background Social Engineering & Phishing
Von der Referenz zum Befund