Reddit-oscp – ¿Estoy listo para tomar PWK?

Mi consejo de preparación para OSCP es casi siempre el mismo, y sin embargo depende de lo que cada estudiante traiga a la mesa. Para mí, si estuviera haciendo un cóctel OSCP:

1 parte de administrador de Windows: sepa cómo activar y desactivar los servicios, agregar usuarios, cambiar contraseñas, navegar a través de cmd y el explorador de Windows, RDP, etc.

1 parte de experiencia en Linux: Saber cómo moverse por directorios, leer archivos, crear archivos, usar un editor de texto (los cursos linux essentials o linux+ prep ayudarán)

1 parte de redes LAN: conocimiento de TCP / IP, puertos, arp, familiaridad con wireshark / tcpdump, firewalls (host y red)

1 parte de conocimiento de seguridad: clases de ataque generales, objetivos, principales vuln de sistemas operativos en los últimos 20 años; curso de prueba de lápiz o libro works

1/2 parte experiencia de Kali – hurgue un poco, experimente la instalación, el inicio de sesión, la ubicación de algunas herramientas y la interfaz

1/2 parte conocimiento de Metasploit – lo ha usado un poco, ejecute el curso gratuito de Metasploit Unleashed

1/2 parte conocimiento de servidor/cliente web – es bueno haber alojado cualquier cosa con apache/iis en el pasado y comprender la configuración archivos, puertos, php/javascript un poco, procesamiento del lado cliente frente al servidor, guión de sintaxis SQL

codificación de 1 parte/lógica de scripting/fundamentos-si puede hacer una bash/perl/powershell/c/python script o haber codificado en el pasado lo suficiente para leer y editar fragmentos de script / código; nada sorprendente

Sprinkle de capacidad de búsqueda eficiente de Google

Traiga todo eso o más a la mesa, y estará listo para recibir el material del curso y luego comenzar a correr en los laboratorios.

Tenga en cuenta que el curso es una entrada a las pruebas de lápiz; no es un requisito tener cáscaras de raíz explotadas en el pasado. El curso te agarrará de la mano y te sacará del camino.

Si quieres el mejor ejemplo de lo que te espera, ve a cybrary y consulta el curso de Pruebas de Penetración Avanzadas de Georgia Weidman. Es gratis y será la forma más cercana y rápida de ver lo que te espera. Vulnhubs y hackthebox están bien para practicar y entender el proceso de enumeración, pero no son necesarios en absoluto.

Google para reseñas OSCP. Están llenos de sugerencias y recursos, y por lo general dan una gran idea de lo que serán las experiencias del curso y el examen. No sobre-mistificar el curso o el examen, y por lo tanto, no sobre-prepararse! Sumérgete y súbete.

Intente familiarizarse con Kali Linux y las herramientas que tiene y el diseño. Esta será su base de operaciones para el curso, y tiene prácticamente todo lo que necesita.

Para los más nuevos en Linux, comience a usar una distribución en un sistema diario y encuentre algunos cursos en línea sobre seguridad y administración de Linux y scripts/comandos de shell. Las habilidades de nivel Linux+/LPIC-1 son buenas, cualquier cosa más allá es genial. También sugiera un primer Bash Shell/Scripting.

Para los más nuevos en Windows, busque algunos cursos sobre seguridad de Windows y administración del sistema operativo. Esto incluye el alojamiento de aplicaciones de tipo servidor (por ejemplo, plataformas web).

Aprende algo de Metasploit. Vale la pena y se acostumbrará, ya sea en el curso o más allá como probador de bolígrafos. Off Sec tiene un curso libre de Metasploit Unleashed.

Aprenda algunas herramientas básicas, gratuitas y grapadas y siéntase cómodo trabajando con varios interruptores: nmap, unicornscan, curl. Busca en Google las 100 mejores herramientas de seguridad y al menos conoce para qué podrías usar cada una. No necesita manejar/instalar cada uno, pero no dude en probar cualquiera.

Para familiarizarse con algunos de los grandes problemas de seguridad de los últimos 15 años, tome una copia de Hacking Exposed (McClure, Scambray, Kurtz).

Para la teoría de pruebas de lápiz, consulte Pruebas de Penetración: Una Introducción Práctica al Hacking (Weidman) o el Libro de jugadas 2 de The Hacker (Kim), un poco más actualizado. ¡El libro de jugadas del Hacker 3 está aún más actualizado!

Tener una comprensión suficiente de las redes para saber cómo funciona TCP / IP en general, usar y leer alguna salida Wireshark / tcpdump, y comprender el direccionamiento IP, los cortafuegos y los puertos.

Tener una comprensión decente de cómo funciona la tecnología web, desde configurar servidores web, observar código HTML/PHP/ASP simple, consultas SQL simples y cómo interactúan los navegadores con el servidor web.

Instale algunos complementos de navegador relacionados con la seguridad y eche un vistazo a las herramientas de desarrollador en todos los navegadores principales en estos días (F12).

Sumérgete en Python o Perl lo suficiente para entrar en la programación de Sockets. Muy útil para comenzar a nadar en el océano de la edición o creación de códigos de explotación o scripts de enumeración. Tener un curso de clase de programación básica es genial, ya que puedes empezar a consumir cualquier idioma si conoces la lógica. (Esto no es necesario, pero muy agradable!)

Empieza a pensar como un atacante. Esto a menudo viene con la experiencia, pero comience a pensar en formas en que puede llegar al Objetivo X o Acceder a Y. ¿Qué errores busca? ¿Qué no es predeterminado?

Por último, sepa que OSCP/PWK viene con materiales de curso y videos que le enseñan todo lo que necesita. Así que no creas que te vas a poner a prueba desde el primer día y pasas 2 años tratando de prepararte para algo que está destinado a enseñarte nuevas habilidades en primer lugar. Aprenderás desde el día 1 hasta el día X.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.