Reddit-oscp-私はPWKを取る準備ができていますか?

私のOSCP準備のアドバイスはほとんど常に同じですが、それはすべての学生がテーブルにもたらすものに依存します。 私にとっては、OSCPカクテルを作っていた場合:

1パートWindows admin-サービスのオンとオフ、ユーザーの追加、パスワードの変更、cmdとwindowsエクスプローラ、RDPなどを参照する方法を知

1部Linuxの経験-ディレクトリの移動、ファイルの読み取り、ファイルの作成、テキストエディタの使用方法を知っています(linux essentialsまたはlinux+prepコースが役立ちます)

1部LANネットワーキング-TCP/IPの知識、ポート、arp、wireshark/tcpdumpの知識、ファイアウォール(ホストとネットワーク)

1部セキュリティの知識-一般的な攻撃クラス、目標、過去20年間の主要なOS vulns; ペンテストコースや本の作品

1/2パートカリの経験-それを少し突く、それをインストールする経験、ログイン、いくつかのツールとインターフェイスの場所

1/2パートMetasploitの知識-それを少し使用している、無料のMetasploitアンリーシュドコース

1/2パートwebサーバー/クライアントの知識-過去にapache/iisで何かをホストしており、設定ファイル、ポートを理解しているニース、php/javascript少し、クライアント対サーバー側の処理、sql構文のダッシュ

1部コーディング/スクリプトロジック/基本-あなたが作ることができれば 何も驚くべき

効率的なGoogle検索能力の振りかける

テーブルにそれ以上のすべてを持参し、あなたはコースの材料と顔に非難され、ラボで実行されている地面にヒットするように設定されています。

心に留めておいて、このコースはペンテストへの入り口であり、過去に根の殻をポップしたことは要件ではありません。 コースは、あなたの手をつかむと、パス上であなたをオフに開始されます。

あなたがしているものの最良の例をしたい場合は、cybraryに行き、Georgia WeidmanのAdvanced Penetration Testing courseで閲覧してください。 それは無料で、あなたが何をしているのかを見るための最も近い、最も速い方法になります。 Vulnhubsとhacktheboxは、練習や列挙のプロセスを理解するためには問題ありませんが、まったく必要ありません。

彼らは提案やリソースに満ちており、通常、コースと試験の経験がどうなるかの素晴らしいアイデアを与えます。 コースや試験を過度に神秘化しないでください、したがって、過剰に準備しないでください! 飛び込み、それに乗ってください。

Kali Linuxとそれが持っているツールとレイアウトに精通してみてください。 これは、コースのためのあなたのホームベースになり、あなたが必要とするほとんどすべてを持っています。

Linuxに新しい人のために、日々のシステム上でディストリビューションを使用して起動し、Linuxのセキュリティと管理とシェルスクリプト/コマンドについ Linux+/LPIC-1レベルのスキルは良いですが、それ以上のものは素晴らしいです。 また、Bashシェル/スクリプティングプライマーをお勧めします。

Windowsに新しい方は、WindowsセキュリティとOS管理に関するいくつかのコースを見つけてください。 これには、ホスティングサーバー型アプリケーション(webプラットフォームなど)が含まれます。

いくつかのMetasploitを学びます。 それはそれの価値があり、それはペンテスターとしてコースまたはそれ以降かどうか、使用されます。 オフセックは無料Metasploit解き放たコースを持っています。

いくつかの基本的な、無料の、ステープルツールを学び、さまざまなスイッチを作業することに慣れてください:nmap、unicornscan、curl。 Googleのトップ100のセキュリティツールと、少なくともあなたがそれぞれを使用することができるものを知っています。 あなたは、それぞれを振るう/インストールする必要はありませんが、任意のアウトを試して自由に感じます。

過去15年間の大きなセキュリティ問題のいくつかに精通するには、公開されているハッキングのコピーを入手してください(McClure、Scambray、Kurtz)。

ペンテスト理論については、ペネトレーションテスト:ハッキングの実践的な紹介(Weidman)またはわずかに最新のハッカーの脚本2(Kim)をチェックしてください。 ハッカーの脚本3はさらに更新されます!

TCP/IPが一般的にどのように機能するかを知り、Wireshark/tcpdump出力を使用して読んで、IPアドレス指定、ファイアウォール、ポートを理解するのに十分なネットワーキング

webサーバーの設定、単純なHTML/PHP/ASPコード、単純なSQLクエリ、ブラウザがwebサーバーとどのように相互作用するかを見ることから、web技術がどのように機能するか

いくつかのセキュリティ関連のブラウザアドオンをインストールし、これらの日のすべての主要なブラウザ(F12)の場所で開発者ツールの周りを突く。

ソケットプログラミングに入るのに十分なPythonやPerlに飛び込みます。 編集やエクスプロイトコードや列挙スクリプトを作るの海で泳いで開始するのに非常に便利です。 基本的なプログラミングのクラスのコースを持っていたことは、ロジックを知っていれば任意の言語を消費し始めることができるので、素晴ら (これは必要ではありませんが、非常にいいです!)

攻撃者のように考え始める。 これは多くの場合、経験が付属していますが、あなたが目標XまたはアクセスYに得ることができる方法を考え始めます。 デフォルトではないものは何ですか?

最後に、OSCP/PWKには必要なものすべてを教えるコース教材とビデオが付属していることを知ってください。 だから、あなたが1日目からテストされているこのに入っているとは思わないし、最初の場所で新しいスキルを教えることを意味している何かのた 1日目からX日目まで学習することになります。

コメントを残す

メールアドレスが公開されることはありません。