Hackerlab Неделя 3: GreenEdge - web reconnaissance, directory + vhost

[Сергей Попов]

Старт: понедельник, 15 июня, 20:00. Дедлайн: воскресенье, 21 июня, 23:59 МСК. Третья неделя серии «Сетевая разведка за 30 дней».

Если на цели нашли HTTP - дальше у вас отдельный мир recon. URL не показывает всех endpoints. Главный сайт - это только то, что вам решили показать. Реальная поверхность - в скрытых директориях, на vhosts, в admin-panels по нестандартным путям. На этой неделе разбираемся, как искать то, что не видно через main URL.

Задача недели​

GreenEdge - HackerLab, Pentest Machines, 400 очков, retired. По описанию - внутренний портал компании, развёрнутый недавно, пользователи жалуются на «нестабильную работу отдельных компонентов». Звучит как приглашение посмотреть, какие компоненты вообще есть.

Открыть: hackerlab.pro.

Инструменты этой недели​

Три инструмента, три перекрывающихся use case. Учимся выбирать, не залипая на одном.

• gobuster dir -u http://<host> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,html,txt - классика directory bruteforce. Расширения через -x критичны
• ffuf -u http://<host>/FUZZ -w wordlist.txt -fc 404 - быстрее gobuster, гибче по фильтрам ответа. Незаменим когда сервер отдаёт 200 на несуществующее
• ffuf -u http://FUZZ.<host> -w subdomains.txt -H "Host: FUZZ.<host>" - vhost enumeration через Host header. Когда сервер хостит несколько сайтов на одном IP
• wfuzz -c -z file,params.txt -u "http://<host>/api/?FUZZ=test" - параметры endpoint'ов. Когда нашли /api/ и нужно знать, что туда передавать

Wordlist - не «больше = лучше». SecLists под задачу обычно даёт результат за 5 минут вместо часа brute force медиум-списком.

Что почитать перед стартом​

• HackTricks: Web pentesting checklist - полный чек-лист от reconnaissance до post-exploit
• PortSwigger Academy: Web Security all topics - источник правды по web уязвимостям, recon-секция в начале

Обсуждаем в комментариях​

• gobuster или ffuf - на чём остановились и почему? Случались ли ситуации, когда один пропускал то, что находил другой?
• SecLists vs кастомный wordlist по конкретной технологии - где практический profit?
• Vhost enumeration в 2026: типичный кейс, когда без него не обойтись? Какие проекты регулярно дают vhosts?

В зачёт идут те, кто раньше GreenEdge не решал. Флаги, сданные до 15 июня 20:00 МСК, в конкурсе не учитываются.
Анти-спойлер: до воскресенья 23:59 - подходы и инструменты, не пейлоады. Конкретные пути и vhosts оставляем на writeup после дедлайна.

Серия: Сетевая разведка за 30 дней. Следующая неделя - финал: связка recon → exploitation в одной цепочке.