Системный подход к успешной сдаче OSCP 2024

Введение

Широко известная в узких кругах организация «Offensive Security» является флагманом в области кибербезопасности, предлагая специалистам уникальные образовательные программы и сертификационные курсы, направленные на детальное погружение в сферу тестирования на проникновение.

Самой популярной и широко известной является сертификация Offensive Security Certified Professional (OSCP). В сентябре текущего года я успешно сдал экзамен и хочу поделиться опытом подготовки, а также рассмотреть совершенные ошибки.

Сперва хочется ввести читателя в контекст и рассказать, в каких условиях происходила подготовка к экзамену. Начальные условия:

• 6 лет в наступательной безопасности на момент подготовки;

• 2–3 рабочих проекта параллельно с обучением. Прорешивать практические задачи я мог только по вечерам или по выходным;

• 3 оплаченных месяца лабораторных (входило в стандартный набор 1649$);

• Огромное желание учиться.

2. Подготовка

Как упоминает Девид Аллен в своей книге «Привести дела в порядок» (GTD), любую задачу, которая требует более одного действия следует называть проектом. Так вот подготовка и сама сдача экзамена стали для меня целым проектом, а значит требовался комплексный подход к решению.

2.1 Сбор информации об экзамене

Как и на стандартном проекте по тестированию на проникновение, я решил начать со сбора информации об экзамене. Конечно, я был наслышан про OSCP, про существующие сложности, про мемы (чего только стоит фраза «Try harder»), но мои знания ощущались поверхностными и мне хотелось это исправить.

Здесь я предпринял следующие действия:

• Эффект синергии. Создал чат в telegram, разделил его на множество топиков, пригласил в чат своих коллег пентестеров и коллег из других кругов. Это позволило взаимно опылять друг друга в процессе. Учитывая, что среди участников чата оказалась обладательница OSCP, можно было обращаться к ней по организационным вопросам и лайфхакам на самом экзамене (привет, Аня!). Было приятно ощущать поддержку и обратную связь в процессе обучения.

  

• Анализ существующих решений. Просмотрел около десятка видео на YouTube с рекомендациями к сдаче и законспектировал их.  Опубликую  в конце статьи, советую ознакомиться.

  

• Стратегическое планирование. Провели внутренний семинар по эффективному обучению, сформировали списки следующих действий, сценарии провала и контрсценарии для них. Спасибо председателю кооператива RadCop Рустаму Гусейнову за то, что поделился своим опытом моделирования сложных процессов. По итогам семинара у нас сформировался высокоуровневый план:

  • 1) Посмотреть высокоуровнево объем, чтобы понять, что надо в целом изучить, и изучаем глубоко то, что не знаем в первую очередь.

  • 2) Осознанное чтение как ведущих инструмент.

  • 3) Имеет смысл пообщаться с теми, кто уже сдал экзамен + составить план как обучаться, и идти по шагам.

  • 4) Установить временные рамки на разбор тем.

  • 5) За день до экзамена ничего не повторять, хорошо провести день.

  • 6) Ни что не мотивирует так, как сожженные мосты (забронируйте жестко дату экзамена).

  • 7) применять метод Фейнмана (объяснить другому человеку тему, сделать пересказ темы своими слоавми, сформировать метафоны и ассоциации).

  • 8) Любая стратегия содержит сценарий провала. Сценарии провала для OSCP:

    • изначальное ложное ощущение, что будет очень просто;

    • мандраж из-за дефицита времени (неправильно рассчитанное время);

    • неверный выбор тактики на экзамене;

    • впасть в главную проблему всех умных людей — болтологию, самооправдание и прокрастинацию;

  • 9) Постарайтесь найти возможность сдать тестовый экзамен.

  • 10) Создайте среду для сдачи экзамена (отдых, спорт, еда, нормальный интернет, стакан воды, еда рядом).

  • 11) Спланировать сценарий переутомления, чтобы понимать когда отдохнуть.

• Компиляция. Собрал вместе все информационные статьи с сайта offsec по тематике экзамена, извлек основные положения и законспектировал их. Лучше всего опираться на основной источник, так как он самый релевантный и обновленный. Стоит отметить, что сбор информации был не дискретным, а последовательным. Я всё чаще натыкался на полезные материалы уже в процессе прорешивания лабораторных. Этакий парадокс Майнхофа (чаще замечает то, что недавно изучили).

  

2.2 Изучение теоретического материала

После оплаты экзамена я получил доступ к теоретическим материалам. В личном кабинете у меня был интерактивный интерфейс с выбором тем (можно было выкачать готовый PDF). Текст разбавляют теоретические и практические вопросы, а также задания в конце каждого раздела. Кстати, за решение вопросов и заданий давали бонусные очки. Далее хочется поделиться некоторыми промежуточными выводами:

• Огромная методичка на 600 страниц в PDF. На прочтение ушло около 2 месяцев. Очень хорошо написано.

• Действительно фундаментальный методический материал. Вся необходимая пентестерская база по WEB, повышению привилегий в Linux и Windows, атаки на hash алгоритмы, атаки на Active Directory и kerberos, поиск и модификация публичныйх эксплойтов. Советую ознакомиться начинающим специалистам по безопасности.

• Эффективное обучение. Отдельно хочется обратить внимание на секцию про эффективное обучение. Она дается одной из первых. Считаю, что это Must have навык не только для пентестера, но и для любого профессионала, который постоянно обучается по циклу PDCA. Рекомендую обратить особенное внимание именно на этот раздел.

Хочется отметить, что методичку я читал несколько раз в неделю (достаточно медленно), часто пропускал то, что и так знаю, фокусировался на разделах, посвященных эффективному обучению и web-пентесту.

От всей души хочу порекомендовать еще один дополнительный материал: статью с высокоуровневым описанием всего того, что может быть на OSCP экзамене. Также я посмотрел 6-ти часовое видео от этого автора с разбором основных векторов в наступательной безопасности.

2.3 Прорешивание лабораторных

Лабораторные работы являются ключевой ценностью для подготовки к экзамену. В статье от Offensive Security «A Path to Success in the PWK Labs» раскрывается процентное соотношение между количеством решенных лабораторных работ и вероятности успешной сдачи экзамена. Это меня воодушевило.

2.3.1 Первая лабораторная

Я решил не тратить время на чтение теоретического материала в самом начале. Во мне было ощущение, что я и так обладаю необходимыми знаниями. Оказалось, что в лабах OSCP, всё немного иначе, чем в привычных мне пентестах. Далее моя рефлексия:

• На решение первой лабы ушло 16 дней. Всего в лабораторной работе было около десяти машин с разными уязвимостями, но невозможно получить доступ к внутреннему периметру, пока не проэксплуатируешь конкретную машину. Это погружало в состояние фрустрации.

• Неочевидные векторы. Часто заходил на официальный discord сервер в поисках подсказок, разгадывал запутанные ответы и искал отсылки на другие машины, чтобы понять путь эксплуатации, ловил фейспалмы от решений. 

• Не было готового cheatsheet. CheatSheet — это шпаргалка, в которую занесены часто используемые команды и векторы. Это позволяет не держать в голове, а быстро скопировать нужные команды. На просторах гитхаба можно найти множество репозиториев по названию «oscp cheatsheet», однако я рекомендую делать такой список с нуля, именно так вы сможете в нем быстро ориентироваться. Посмотреть можно здесь.

• Не было структуры заметок. В начале у меня отсутствовал понятный и удобный способ сохранять находки. Информация была неструктурированной, сложно было понять, что к чему относится и на чем я остановился. Было сложно возвращаться в контекст спустя время.

 

• Не было таблицы с кредами, хешами и доступами. В процессе эксплуатации я находил множество учетных данных: логины, пароли, хеши. В OSCP эти данные даются не просто так – они где-то будут использоваться: подобрать пароль к службе SSH, сделать password spray атаку по доменным учетным записям и так далее. Обнаруженные данные должны быть видимы и учтены.

Первая лабораторная инфраструктура заставила меня усомниться в своих навыках. Это к лучшему, это отрезвило. Лучше сразу понять свои слабости, чтобы заблаговременно их устранить. По итогу первой лабы у меня были готовы:

• cheatsheet со списком наиболее частых команд;

• понятная и удобная система ведения заметок;

• способ организованного хранения всех локальных и доменных учетных записей, случайных паролей, local.txt и proof.txt хеши от скомпрометированных машин.

Какие еще замедляющие факторы:

1) Попался на rabbit hole в самом начале (такая приманка, которая никуда не ведет, тупик) на веб-приложении со статичным сайтом. Стоило сразу идти на второй. Спустя минуту нашел SQL-инъекцию. Во многих видео с разборами упоминалось, что очень важно ставить себе дедлайны на векторы. Если за час не получилось, то идите дальше.

2) Потратил много времени на неработающий пивотинг (получение доступа к внутренней сети) с помощью chisel. Теперь использую ligolo-ng. Работает как часы. Точно также закидываю агентов на узлы и подключаюсь к себе.

3) Потратил много времени на попытки запуска Powershell команд из-под winrm. Коммандлеты просто не работали, теперь оборачиваю все в powershell -c "command".

Сформированная инфраструктура заметок и рефлексия вокруг замедляющих факторов позволила мне ускориться значительным образом. A Path to Success in the PWK Labs

2.3.2 Вторая лабораторная

Почти месяц прошел со старта.  Здесь было интереснее и разнообразнее.  На внешнем периметре 5-6 машин, против трёх в первой. Неочевидных вещей гораздо меньше. Много сбора информации о поверхности атаки. Стал ощущать себя увереннее. Были сложности с доступностью инфраструктуры через VPN и доступностью сервисов. 

На этот момент оставалось две недели до экзамена. Try Harder.

2.4 Прорешивание демо экзамена

Демо-экзамены — это очень хороший способ поместить себя в тестовое окружения, подобное настоящему экзамену. Здесь базовая рекомендация — это отказаться от просмотра подсказок и прикинуть, сколько времени занимает решение. В целом мне очень понравилось. Демки решались существенно быстрее и проще. Там было всего 6 машин (3 standalone, 2 машины в Active Directory + 1 домен контроллер), а не 10–15.

• Второй и третий демо экзамена занимали 8–9 часов чистого времени.

• Векторы были знакомы и понятны

2.5 Получение бонусных очков

• Для получения бонусных очков необходимо выполнять ряд условий.

• Это было скорее очень муторно, чем полезно. Я даже особо не вникал в суть заданий, а пытался выполнить их. Задания требовали подключения к машинам через VPN, каждое новое задание загружалось несколько минут, и это вызывало фрустрацию.

• 4-5 полных дней прорешивания (~ 6–8 часов). Мне удалось разгрузиться полностью от проектов, и я инвестировал почти всю рабочую неделю для выполнения практических заданий на бонусные очки.

2.6 Подготовка шаблона отчета

Итоговый отчет — это основной документ, который проходит проверку. Первые 23 часа и 45 минут даются на поиск уязвимостей, а следующие 24 часа на написание отчета.

Offsec предоставляют шаблон отчета для внесения туда находок, но он в формате для Word и OpenOffice, а я пишу в Obsidian. Для своего удобства я сконвертировал изначальный формат документа DOCX в markdown и сформировал готовую структуру отчета. После этого стало очень удобно переносить заметки в итоговую структуру.

3. Первая попытка

Я назначил экзамен примерно за три недели. Это важно, потому что слоты могут оказаться занятыми и останутся очень неудобные.

Существуют разные стратегии сдачи экзамена. Изначально у меня был план: решать экзамен примерно 12 часов с 9 до 21, а дальше пойти спать и проснуться в 5 утра, чтобы доделать всё оставшееся на свежую голову, но что-то пошло не по плану.

За месяц до экзамена у меня был сломанный режим сна (вставал где-то в 12-13 часов), и не были получены бонусные очки. Я собрался с силами и начал просыпаться по утрам, выходить на тренировку, а после этого был контрастный душ, плюс чтение. Мне удалось отшлифовать шероховатости и прийти в нужную форму. В итоге я починил режим и хорошо поспал ночью перед экзаменом.

! Дисклеймер. Раскрывать детали экзамена нельзя. Поэтому буду описывать только свои впечатления !

В OSCP экзамен включен прокторинг, то есть на протяжении всего времени у вас будет включена веб-камера, а также трансляция экрана в реальном времени. В самом начале вам нужно настроить софт, подтвердить свою личность и запустить скрипт для диагностики системы. В официальных гайдах подробно описан процесс, поэтому останавливаться здесь не будем.

Первая попытка оказалась неудачной. Пусть я и получил административные привилегии на одной машине, но этого было недостаточно. Также у меня был пробив в Active Directory сеть, но я не знал что делать дальше после повышения привилегий. А на другой машине я смог проэксплуатировать ряд уязвимостей, но не мог получить выполнение команд.

Из интересного

• Вечером перед экзаменом я приготовил кучу еды и закупился продуктами, чтобы не отвлекаться. В целом это было полезно;

• я не спал все 24 часа экзамена. Это абсолютно сломало мою стратегию действий. Стоило поспать, чтобы сохранить гибкость ума и ресурсное состояние;

• я пытался наверстать упущенное, и казалось, что уже вот-вот и получится, но это было ложное ощущение;

• я провалился в кроличью нору (rabbit hole), потерял счет времени и увлекся тем, что было неэффективно. В OSCP нет сложных векторов; Есть угадайки и неожиданности, но не сложные векторы в 10 шагов. В одном из роликов я слышал, что средняя цепочка эксплуатации ~4–5 шагов;

• для сдачи экзамена нужно было доделать Active Directory сет и я вложил все силы в это, забыв про отдых;

• на протяжении ~8 часов я безрезультатно пытался что-то сделать, проснулся внутренний критик. Он твердил: «Ничего не получится», «все безрезультатно», «ты уже совсем вышел из тайминга, у тебя не получается», «это позорно, что ты не сдал экзамен, будучи опытным спецом». Это был интересный опыт внутреннего противодействия. Но мне удалось с этим справиться и объяснить себе, что подобные терзания не помогут мне получить доступ к контроллеру домена.

Я завершил экзамен и не стал оформлять отчет. В этом не было смысла. Отписался товарищам и получил огромную поддержку. Это было очень приятно и ценно для меня. Спустя пару дней я решил, что буду сдавать экзамен как только спадёт ограничение на пересдачу (где-то месяц).

4. Вторая попытка

Спустя примерно полтора месяца я предпринял вторую попытку сдачи экзамена. Моя стратегия немного изменилась. Я использовал Pomodoro таймер (25 минут фокус, 5 минут отдыха) и это ощутимо помогало. Также я назначил экзамен не на 9 утра, а на 11. Это позволило хорошо выспаться, а также давало возможность проснуться утром следующего дня и доделать начатое. Также я отслеживал все тайминги экзамена. Думаю, это позволит другим понять мою стратегию.  Тайминги под спойлером.

Скрытый текст

1113 — начал экзамен

11:34 — нашел админскую учетную запись на 1 машине

11:34 — застрял, переключился на другую машину

11:37 — отдых

11:45 — работаю

12:00 — получил шелл на 1 машине

12:04 — переключился на другую машину

12:07 — отдых

12:37 — отдых

13:07 — отдых

13:40 — застрял на повышении привилегий. Переключился на другую машину

13:45 — получил доступ к вебу на 1 машине

13:47 — продвинулся на 2 машине

13:54 — получил выполнение команд на 1 машине

14:07 — принимаю пищу

14:43 — работа

15:30 — получил хеш пользователя, нашел вектор повышения привилегий

15:49 — отдых

16:14 — получил админские права на машинеcat

16:18 — Начал изучать Active DIrectory

16:20 — получил хеш пользователя на 1 машине

16:43 — получил хеш рута на 1 машине

16:47- отдых

17:32 — отдых

18:13 — работа

18:36 — поиграл с котом

18:42 — работа

19:07 — отдых

19:20 — работа

19:40 — восстановил пароль от архива

19:44 — получил хеш пользоваетеля на машине на MS01

19:45 — отдых

19:55 — работа

21:05 — длинный отдых, прогулка

22:32 — работа (пересматриваю заметки)

23:28 — пошел спать (уснул в 01:00)

08:11 — работа после сна

08:20 — уснул за столом

09:07 — работа

10:00 — перезапустил 3 машину

10:45 — отключился VPN до инфраструктуры

11:30 — начать писать отчет

11:59 — закончил писать отчет по 1 машине

12:33 — закончил писать отчет по 2 машине

12:33 — отдых

13:52 — начал писать отчет по пентесту Active Directory

14:47 — закончил расписывать пробив в Active Directory

14:57 — отдых

15:40 — работа

16:20 — закончил писать отчет по пентесту Active Directory

16:46 — закончил вставлять ссылки на инструменты

17:47 — отправил финальный архив

Перерывы в работе помогали посмотреть на задачу под иным углом. Этого мне сильно не хватало при первой попытке.

В какой-то момент я застрял на этапе подбора пароля к архиву. В итоге вместо JTR я попробовал Hashcat и это увенчалось успехом. Здесь я вновь начал фрустрировать и ощущать беспомощность, как при прошлой попытке. Позитивный настрой и упорство позволили продвинуться.

Заранее подготовленный шаблон для отчета помог значительно. В целом на оформление ушло примерно 6 часов. Ощущалась невероятная ответственность за отчет: меня ждет провал, если я что-то упущу. Раз 5–6 прочитал отчет с начала и до конца, чтобы убедиться, что всё идеально. Сформировал архив, взял от него md5 сумму, загрузил всё в проверяющую систему. Отправил…

5. Заключение

У себя в телеграм-канале я уже делился некоторой рефлексией по итогам экзамена. В рамках статьи мне удалось раскрыть тему более подробно. В целом я совсем не жалею, что инвестировал время и деньги в этот сертификат. Он ощущается полезным не только с точки зрения своей значимости в тендерах, репутации, но и в самой возможности системно подойти к решению задачи. Касаемо технических навыков, здесь я узнал не так много, но было приятно и полезно освежить какие-то концепции. Для новичков OSCP экзамен безусловно будет полезным.

Хочется порекомендовать всем сочувствующим к OSCP, подходите системно к подготовке. С первого взгляда это может казаться избыточно и неэффективно, но именно ясность позволит вам разогнаться и не совершать основных ошибок.
 
 В первом квартале 2025 планирую попробовать с наскока сдать новый OSCP+ экзамен, а в начале второго квартала начать подготовку к OSWE.
 
 Всем успехов в live-long-education!

• Мой телеграм канал (клик);

• Телеграм канал RADCOP (клик);

• OSCP cheatsheet (клик). 

6. Рекомендации

1. Парень сдал OSCP на 90 баллов (AD + 2 машины: 40 + 40 + 10 бонусных). Порешал до этого много HTB. С нуля изучил AD в рамках материалов OSCP. Упоминает, что все необходимое для сдачи есть в материалах и лабах OSCP. Конечно, дополнительные тачки полезны, но не настолько, насколько предоставленные в курсе. 3 часа на репорт. Взял доступ к лабам на 3 месяца, а потом перерыв на 3 месяца, чтобы отсрочить экзамен. За первые 2 месяца прошёл 10%, остальное за последний месяц. Рекомендует зайти на дискорд сервер. Очень рекомендует решать Лабы оффсека, писать конспекты в процессе обучения и делать пометки вовремя решения. https://www.youtube.com/watch?v=FetlX3Sn1lg;

2. Не рекомендует сидеть все время за экзаном без еды, воды, прогулок. Следите за таймингами. Опредедите время, когда вам максимально комфортно. Растягивайтесь и разминайтесь в процессе. Хорошо поешьте. Шоколад, завтра, вода, кофеин (не в начале дня). Заручитесь помощью друзей и близких, которые могут помочь вам с едой. Делайте записи. Пейлоады, шеллы, sqli. HackTheBox решайте, IppSec смотрите. TG_null oscp playlist. Пройдите небольшой курс сперва. EJPT. Методичка не панацея, но в конце каждого раздела есть контрольные вопросы, на которое нужно ответит. Пейте воду! Следите за температурой вокруг. Вам должно быть комфортно. https://www.youtube.com/watch?v=6tZ7jZYNZEk;

3. Очень хорошо поспите перед экзаменом, 10 часов, вместо 7. Не беспокойтесь. Поставьте своей задачей получить удовольствие и фан. Не фрустрируйте и не поддавайтесь злости и унынию (автор за 5 часов ничего не решил, в потом за 3 часа скомпрометировал 2 машины и AD). Самое сложное в OSCP — это не техническая часть, а ментально-психологическая. Остаться позитивным, спокойным, веселиться.Отдыхайте, делайте перерывы, упражняйтесь, отвлекитесь, чтобы вернуться вновь со свежим взглядом. Уделите должное внимание процессу написания отчёта и требованиям к отчету. Оффсеки дают шаблон репорта. https://www.youtube.com/watch?v=trCZB7tRTNk;

4. Читаешь организационные маны и рекомендации от OffSec — описания чего и как устроено в OSCP на их сайте. Читаешь методичку. Покупаешь лабы, просматриваешь че есть на их закрытом форуме, проходишь гайд на форуме по лабам. Фигачишь лабы каждый день пока не надоест. Назначаешь экзам согласно гайду от OffSec. Делаешь тестовый прогон экзама для себя как описано в https://johnjhacking.com/blog/the-oscp-preperation-guide-2020/ (во время экзама важна концентрация, расписание и правильный распорядок дня с оптимизацией всех процессов, стоит немного привыкнуть). В отведенный день решаешь экзам под присмотром ментора через камеру, не забываешь заскринить все шаги атак, а также сделать все остальное согласно гайду по экзаму. На след день пишешь отчет 🤮 и отправляешь согласно гайду от OffSec. Не забываешь просматривать спам, чтоб не пропустить письмо с резалтом.(совет коллеги);

5. Запускайте nmap дважды, потом поблагодарите. Найдите баланс между лабами и теорией. Лабы специфичны и их решения есть в теории. Читайте описание эксплойтов. Не пропускайте его. Не пытайтесь понять что происходит «в общем». Уделите время прочтению документации. Не пытайтесь форсировать использование автоматизированных средств для LPE. Попытайтесь сначала руками. Найдите чеклисты или курс от TCM Security. Делайте качественные записи и заметки. Установите жёсткие временные рамки на реализацию векторов. Если вы сидите слишком долго, то попробуйте что-то другое. Это поможет не угодить в rabbit hole. Принцип kiss, keep it simple stupid. Автоматизируйте все, что можете. Это сэкономить время. Начните пользоваться форумами. Маленькая подсказка не стоит нескольких дней мучений и фрустрации. Найдите себе buddy, которые также изучают материал и готовятся к экзамену. https://www.youtube.com/watch?v=x3a3WH6gp5w;

6. Enumeration is a key even if you’re stuck. Не зацикливайтесь только на одном инструменте. Имейте резервные варианты. Не обходите стороной низковисящие фрукты. Лёгкие векторы вполне могут быть. FTP/SMB Anon. Уточняйте свои поисковые запросы, чтобы найти наиболее рклеватные ответы сразу. Распыляйте все пароли на все сервисы. Даже логин может быть паролем. Пробуйте разные регистры. Фиксируйте найденные логины и пароли. ВСЕГДА проверяйте дефолт креды. Будьте гибкими в техниках, но и настойчивым. Знайте что вы делаете!. https://www.youtube.com/watch?v=X0hkXwyM51w;

7. На экзамене нельзя тратить время на поиск информации о базовых вещах. Поэтому имейте в запасе готовую папку с web-shell, reverse-shell. Будучи в стрессовом состоянии ваш мозг перестает думать и вы впадете в панику. https://www.youtube.com/watch?v=7xJq-HhDJik;

8. Еще совет по экзамену, если решил все машины, все задокументировал и собрал все флаги, то не спеши в саппорт писать что готов переходить к отчету. Все внимательно перепроверь, я сбрасывал лабу чтобы заново пройти по своим записям копипастой команд (источник потерян);

9. Инвестируйте много-много-много времени. Удалеяйте внимание материалам курса. Практикуйтесь, практикуйтесь, практикуйтесь. Подготовьте ваш читшит. Будьте методичным, записывайте всё. Запоминайте каждую команду и каждый вывод, который позволил вам продвинуться. Понимайте, что от вас ожидается. Готовьтесь, готовьтесь готовьтесь. https://www.youtube.com/watch?v=HUmtfFKKWWc.