3 sep. 2018

Examen de prueba para estudiantes del OSCP

Una de las certificaciones más valoradas en la actualidad por un pentester es el OSCP (Offensive Security Certified Professional), principalmente porque es eminentemente práctica y requiere mucho tiempo de labs (PWK y otros) para enfrentarte a un duro examen final en el que el alumno tendrá que abordar 5 máquinas en un plazo de tan sólo 24 horas.
Lo único seguro durante ese día (a parte de la tensión y los nervios) es que sólo se podrá usar Metasploit en una de esas máquinas y que una de las vulnerabilidades a explotar, sí o sí, será una BoF sencillo. A partir de ahí todo es ansiedad y dudas para el estudiante que se enfrenta por primera vez a la prueba que va a medir sus conocimientos adquiridos normalmente durante bastante tiempo.

Precisamente para los estudiantes que se vayan a estrenar en el examen del OSCP y quieran realizar una prueba antes, Nate Curry ha empaquetado cinco máquinas (cinco VMs) para simular lo que sería el examen real. Evidentemente estas máquinas no son de Offensive Security y podrás encontrar sus writeups en Internet, pero la gracia consiste en hacerlas en un plazo de 24 horas para ir midiéndose y preparándose para el día D.

Una vez terminado el tiempo de vuestra prueba ficticia, tenéis en el fichero Box_Names.txt en Base64 los nombres reales de las máquinas. Con ellas podrás ver los writeups que hay en Internet para comprobar si hay otros vectores de ataque que te perdiste y revisar las cosas que no pudiste comprometer, todo con el objetivo de reforzar lo necesario y organizarse mejor en el examen.

Instrucciones

  • Programa una hora concreta para cuando quieras que comience el período de 24 horas
  • Sigue las pautas del examen del OSCP sobre el uso de Metasploit y otras reglas que encontrarás en el examen real para replicar mejor las condiciones reales
  • Las máquinas tienen puntos asociados a cada una en una escala del 1-10. La puntuación para aprobar será 7 de 10 puntos
  • NO necesitas Metasploit
  • Resiste la tentación de ver como se levantan las VM ya que algunas máquinas de Vulnhub revelan su nombre durante las secuencia de arranque, así como también en las pantallas de inicio de sesión.
  • No leas el archivo "Box_Names.txt" hasta que estés listo para leer los comentarios de cada máquina.
  • Es muy fácil hacer trampas en este examen práctico, pero haz tu mejor esfuerzo para no darte pistas por tu propio bien
Descarga el siguiente archivo ZIP con el examen (actualizado a 3 de agosto de 2018): https://drive.google.com/file/d/1p0U9yYSObcJty5REN88EQzPeDOFauIn0/view

Fuente: H4cklife

0 comentarios:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info
Si vas a dejar una consulta, procura tener habilitado tu perfil en Blogger o deja una forma de contacto.

Gracias por comentar!