Reddit-oscp-Sono pronto a prendere PWK?

Il mio consiglio di preparazione OSCP è praticamente sempre lo stesso, eppure dipende da ciò che ogni studente porta in tavola. Per me, se stavo facendo un cocktail OSCP:

1 parte di Windows admin-sapere come attivare e disattivare i servizi, aggiungere utenti, modificare le password, sfogliare cmd e Windows explorer, RDP, ecc.

1 parte Linux experience-Know how to move around directories, read files, create files, use a text editor (linux essentials or linux+ prep courses will help)

1 parte LAN networking-TCP/IP knowledge, ports, arp, wireshark/tcpdump familiarity, firewall (host and network)

1 parte security knowledge-general attack classes, goals, major OS vulns over the past 20 years; penna di prova del corso o libro funziona

1/2 parte Kali esperienza di curiosare un po’, esperienza di installazione, la registrazione, la posizione di alcuni strumenti e l’interfaccia

1/2 parte di Metasploit conoscenza – hanno usato un po’, correre attraverso il libero Metasploit Scatenato corso

1/2 parte di web client/server conoscenza bello avere ospitato nulla con il apache/iis in passato e capire i file di configurazione, porte, php/javascript un po’, client vs elaborazione lato server, dash della sintassi SQL

1 parte/di codifica logica di scripting/basi – se si può fare una bash/perl/powershell / c / python script o hanno codificato in passato abbastanza per leggere e minorly modificare blocchi di script / codice; niente di sorprendente

Cospargere di efficiente capacità di ricerca di Google

Portare tutto questo o più al tavolo, e sei pronto per essere sbattuto in faccia con il materiale del corso e poi ha colpito il terreno in esecuzione nei laboratori.

Tenete a mente, il corso è una voce in pen test; non è un requisito per avere spuntato shell radice in passato. Il corso afferrerà la tua mano e ti avvierà sul percorso.

Se vuoi il miglior esempio di ciò che stai cercando, vai a cybrary e fai una lettura al corso Advanced Penetration Testing di Georgia Weidman. È gratuito e sarà il modo più vicino e veloce per vedere cosa ti aspetta. Vulnhubs e hackthebox vanno bene per la pratica e per capire il processo di enumerazione, ma non sono affatto necessari.

Google per OSCP recensioni. Sono pieni di suggerimenti e risorse, e di solito danno una grande idea di ciò che il corso e le esperienze di esame saranno. Non mistificare eccessivamente il corso o l’esame e, quindi, non prepararsi eccessivamente! Tuffati e sali.

Prova a familiarizzare con Kali Linux e gli strumenti che ha e il layout. Questa sarà la vostra base di partenza per il corso, e ha praticamente tutto il necessario.

Per quelli più recenti a Linux, iniziare a utilizzare una distro su un sistema giorno per giorno e trovare alcuni corsi online su Linux sicurezza e amministrazione e shell scripting/comandi. Le abilità di livello Linux+/LPIC-1 sono buone, qualsiasi cosa al di là è grande. Suggerisci anche un Bash Shell/Scripting primer.

Per quelli più recenti di Windows, trovare alcuni corsi sulla sicurezza di Windows e l’amministrazione del sistema operativo. Ciò include l’hosting di applicazioni di tipo server (ad esempio piattaforme web).

Impara un po ‘ di Metasploit. Ne vale la pena e si abituerà, sia nel corso che oltre come tester a penna. Off Sec ha un corso libero Metasploit Unleashed.

Impara alcuni strumenti di base, gratuiti e di base e mettiti a tuo agio con i vari switch di lavoro: nmap, unicornscan, curl. Google i primi 100 strumenti di sicurezza e almeno sapere che cosa si potrebbe utilizzare ciascuno per. Non è necessario maneggiare / installare ciascuno, ma sentitevi liberi di provare qualsiasi fuori.

Per familiarizzare con alcuni dei grandi problemi di sicurezza negli ultimi 15 anni, prendi una copia di Hacking Exposed (McClure, Scambray, Kurtz).

Per la teoria dei test della penna, controlla Penetration Testing: A Hands-On Introduction to Hacking (Weidman) o il leggermente più aggiornato The Hacker’s Playbook 2 (Kim). L’Hacker Playbook 3 è ancora più aggiornato!

Avere una conoscenza abbastanza decente della rete per sapere come funziona TCP / IP in generale, utilizzare e leggere alcuni output Wireshark / tcpdump e comprendere l’indirizzamento IP, i firewall e le porte.

Avere una conoscenza decente di come funziona la tecnologia web, dalla configurazione di server web, guardando semplice codice HTML / PHP / ASP, semplici query SQL, e come i browser interagiscono con il server web.

Installare alcuni componenti aggiuntivi del browser relativi alla sicurezza e curiosare gli strumenti di sviluppo in atto in tutti i principali browser in questi giorni (F12).

Tuffati in Python o Perl abbastanza per entrare nella programmazione Socket. Molto utile per iniziare a nuotare nell’oceano di modificare o fare codice exploit o script di enumerazione. Avendo avuto un corso di classe in programmazione di base è grande, come si può iniziare a consumare qualsiasi lingua se si conosce la logica. (Questo non è necessario, ma molto bello!)

Inizia a pensare come un attaccante. Questo spesso viene fornito con l’esperienza, ma iniziare a pensare a modi si può arrivare a Obiettivo X o accesso Y. Quali errori si fa a cercare? Cosa non è predefinito?

Infine, sappi che OSCP / PWK viene fornito con materiali per corsi e video che ti insegnano tutto ciò di cui hai bisogno. Quindi non credo che si sta andando in questo in fase di test dal giorno 1 e trascorrere 2 anni cercando di prepararsi per qualcosa che ha lo scopo di insegnare nuove competenze, in primo luogo. Imparerai dal giorno 1 fino al giorno X.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.