Reddit-oscp – är jag redo att ta PWK?

mitt OSCP prep-råd är ganska mycket alltid detsamma, och ändå beror det på vad varje elev tar med sig till bordet. För mig, om jag gjorde en OSCP-cocktail:

1 del Windows admin – vet hur man slår på och av tjänster, lägger till användare, byter lösenord, bläddrar igenom cmd och Windows explorer, RDP, etc.

1 del Linux-upplevelse-vet hur man flyttar runt kataloger, läser filer, skapar filer, använder en textredigerare (linux essentials eller linux+ prep-kurser hjälper)

1 del LAN-nätverk-TCP / IP-kunskap, portar, arp, wireshark/tcpdump-kännedom, brandväggar (värd och nätverk)

1 del säkerhetskunskap-allmänna attackklasser, mål, stora OS vulns under de senaste 20 åren; pen testkurs eller bok fungerar

1/2 del Kali erfarenhet – peta runt det lite, erfarenhet installera det, logga in, placering av vissa verktyg och gränssnittet

1/2 del Metasploit kunskap – har använt det lite, kör igenom den fria Metasploit Unleashed kurs

1/2 del webbserver/klient kunskap – trevligt att ha värd något med apache/iis i det förflutna och förstå konfigurationsfiler, portar, PHP/JavaScript lite, klient vs server-side bearbetning, streck av SQL syntax

1 del kodning/scripting logic/basics – om du kan göra en bash/Perl/powershell/c / python-skript eller har kodat i det förflutna tillräckligt för att läsa och mindre Redigera skript / kodbitar; inget fantastiskt

strö av effektiv Google-sökförmåga

ta med allt detta eller mer till bordet, och du är inställd på att bli smälld i ansiktet med kursmaterialet och slå sedan marken i laboratorierna.

Tänk på att kursen är ett inträde i penntestning; det är inte ett krav att ha poppat rotskal tidigare. Kursen kommer att ta din hand och starta dig på vägen.

om du vill ha det bästa exemplet på vad du är ute efter, gå till cybrary och ta en granskning på Georgia Weidmans avancerade Penetrationstestkurs. Det är gratis, och kommer att vara det närmaste och snabbaste sättet att se vad du är i för. Vulnhubs och hackthebox är bra för övning och för att förstå uppräkningsprocessen, men de är inte nödvändiga alls.

Google för OSCP recensioner. De är fulla av förslag och resurser, och ger vanligtvis en bra uppfattning om vad kursen och tentamen kommer att bli. Övermystifiera inte kursen eller tentamen, och förbered dig därför inte! Dyka in och få på det.

försök att bli bekant med Kali Linux och de verktyg den har och layouten. Detta kommer att vara din hemmabas för kursen, och har i stort sett allt du behöver.

för de som är nyare till Linux, börja använda en distro på ett dagligt system och hitta några onlinekurser om Linux-säkerhet och administration och skalskript/kommandon. Linux + / LPIC-1 nivå färdigheter är bra, allt bortom är bra. Föreslå också en Bash Shell / Scripting primer.

för de som är nyare i Windows, hitta några kurser om Windows-säkerhet och OS-administration. Detta inkluderar hosting server-typ applikationer (t.ex. webbplattformar).

lär dig lite Metasploit. Det är värt det och det kommer att användas, oavsett om det är i kursen eller bortom som en penntestare. Off Sec har en gratis Metasploit Unleashed kurs.

lär dig några grundläggande, gratis, häftverktyg och bli bekväm med att arbeta med olika omkopplare: nmap, unicornscan, curl. Google de 100 bästa säkerhetsverktygen och vet åtminstone vad du kan använda var och en för. Du behöver inte använda/Installera var och en, men känn dig fri att prova något.

för att bekanta dig med några av de stora säkerhetsproblemen under de senaste 15 åren, ta en kopia av Hacking Exposed (McClure, Scambray, Kurtz).

för penntestteori, kontrollera penetrationstestning: en praktisk introduktion till Hacking (Weidman) eller den lite mer uppdaterade Hacker ’ s Playbook 2 (Kim). Hackarens Playbook 3 är ännu mer uppdaterad!

ha ett anständigt nog grepp om nätverk för att veta hur TCP/IP fungerar i allmänhet, använd och läs lite Wireshark/tcpdump-utgång och förstå IP-adressering, brandväggar och portar.

har ett anständigt grepp om hur webbteknik fungerar, från att konfigurera webbservrar, titta på enkel HTML/PHP/ASP-kod, enkla SQL-frågor och hur webbläsare interagerar med webbservern.

installera några säkerhetsrelaterade webbläsartillägg och peka runt utvecklarverktygen på plats i alla större webbläsare idag (F12).

Dyk in i Python eller Perl tillräckligt för att komma in i Socket programmering. Mycket användbart för att börja simma i havet för att redigera eller utnyttja kod eller uppräkningsskript. Att ha haft en kurs i grundläggande programmering är bra, eftersom du kan börja konsumera vilket språk som helst om du känner till logiken. (Detta är inte nödvändigt, men mycket trevligt!)

börja tänka som en angripare. Detta kommer ofta med erfarenhet, men börja tänka på hur du kan komma till mål X eller åtkomst Y. vilka misstag letar du efter? Vad är inte standard?

slutligen, vet att OSCP / PWK kommer med kursmaterial och videor som lär dig allt du behöver. Så tror inte att du kommer in i detta testas från dag 1 och spendera 2 år försöker förbereda sig för något som är tänkt att lära dig nya färdigheter i första hand. Du kommer att lära dig från dag 1 till dag X.

Lämna ett svar

Din e-postadress kommer inte publiceras.