前言

前面幾篇寫了一些有趣沒什麼人討論的攻擊手法，中場休息偷懶一下
之前在PTT上看到有人討論OSCP，想說也來分享一下我的經驗
(本篇同步刊載於PTT，鐵人賽版本內容有再次整理)

正文

概要

OSCP全稱Offensive Security Certified Professional，是一張滲透測試證照，全程實戰測驗，考生有23小時45分鐘的時間拿下隨機抽取的5台主機(必定會有一台Windows BOF)，考完後要在24小時內交出一份滲透測試報告。

OSCP的報名可以直接看官網，就不再贅述，總之第一次報名一定要連同教材一起買(重考不需要)

報名後你會收到教材(2020有更新):

1. 一份800多頁的PDF
2. 影片檔(但我沒什麼看XD)
3. 課程Lab的使用權

註: 教材上會有你個人資料的浮水印，外流會導致你的資格被取消，請小心保管

在購買課程之前，要想一下行程規劃。Lab使用權我買30天，但也沒花多少時間打，有點浪費XD。但我在此之前已經有在Hackthebox練了一陣子。購買課程之後，盡早安排考試時間，不然會剩下的時段可能跟你平常的作息不一樣。一樣就沒差

考試感想與小技巧

我當時大概打了7~8個小時通關(包含休息)，早上9點到下午5點左右，OSCP考試的配分是10, 20, 20, 25, 25

Tip: 考試之前可以在Kali開5個Workspace，防止搞混

我打的步驟是先nmap掃10分的，再到另一個workspace邊打25分的Windows BOF，有趣的是，我本來打算從10分的Machine開始打，結果我先root兩台25分，然後兩台20分，10分卡到最後XD。

題目其實都不難，會浪費你時間的都是typo、rabbit hole和enumeration，

• Typo: 我自己10分的那題就是因為我手殘在生後門的時候寫錯format，不然其實三行command就root了差點把我自己手剁了(X，Typo問題會讓你不小心就浪費一堆沒必要的時間。

• Rabbit hole: 這絕對是可以浪費大部分人時間的問題，如果你同個東西試了半小時以上，先休息一下，換別條路打。中途休息真的很重要，我每打完一台/卡超過30分鐘就會去休息一下，滑個手機，看個脫口秀放鬆一下。另外有些exploit雖然能用，但永遠沒辦法拿來RCE，只是為了浪費你時間，這種也算Rabbit hole

• Enumeration，我的作法是先掃一遍基礎的
  nmap -sC -sV -T4 -v <IP> -oN init.nmap
  -v是為了可以不用等整個掃完就能先看到port開了哪些，可以猜測跑哪些服務，在等結果的時候可以先手動看一些服務，例如21就看一下有沒有Anonymous Login，111就showmount，445就跑一下smbmap等等的。nmap出結果之後，還沒看到甚麼特別有把握打進去的服務時(或是都打不進去時)，就再跑一次nmap掃全port。

另外需要注意的是，OSCP中的考試會需要你改exploit的某個部分，所以在跑exploit之前，確保你知道你跑了甚麼東西，會拿到甚麼，例如有些POC裡面是可能預設是去拿某個web config file，但你可能透過前面leak出來的資訊，知道了某些檔案的位置，像是ssh key，這時候就可以改exploit去拿ssh key。或是exploit裡面是做command injection，可能就要改成reverse shell、改port等等的。

PrivEsc
在練習/進行Privilege Escalation，還不清楚sciprt裡面跑的那些有甚麼意義的時候，不要太依賴Script，有時候資訊太多會讓你失去方向，你也可以寫一個自己的script。我自己在考OSCP準備了兩三個script但完全沒用上XD。當然在你熟悉之後，Script確實可以幫你節省很多時間，也建議不要只使用單一的Script，交叉使用比較不容易遺漏。

有些指令你剛拿到low-shell時就可以先run看看，基本的像是id,sudo -l,netstat，我靠這類簡單的command就足夠在OSCP全root了。

可以注意一下像是netstat有沒有跑在local的服務，有的話可以做個port forward。也有兩次提權的題目(不過在Hackthebox這幾乎是慣例了)。另外也可以看看有沒有甚麼特別的程式/軟體，如果找到的話就離root不遠了，我私心特別愛玩提權XD，但OSCP的提權都不會太難，不用太擔心。

學習資源

• Hackthebox Academy
  如果對PT還不是很熟，在報名OSCP之前推薦你去看看。另外最近Hackthebox的機器有越來越難的趨勢(相對於以前)，所以你Easy Box打得很辛苦不用灰心，可以從退休機器開始練。

• TryHackMe
  我主要是玩它的Windows Buffer Overflow，裡面有一個lab和10個task，跟OSCP很像，基本上練個兩三個task就不用擔心了。即使你已經有Linux Pwn的底子也推薦你去熟悉一下Immunity Debugger，可以幫助你打得更快。

• ippsec
  主要是Hackthebox退休機器的Writeup影片，推薦的原因是因為他會示範不使用metasploit去完成機器，適合新手學習，他還有另一個網站ippsec.rock，可以用來搜尋特定主題的影片。

總結

我真正在打的時間其實並不多，8個小時大概休息了2~3個小時(中間睡了個覺)，扣掉一些typo, enum,rabbit hole那些的，實際打的時間並不是很長，建議一定要很清楚每個指令和參數的意義，不要只是copy/paste，我就是因為copy我之前的指令才搞這麼久XD。(經驗血淚史)
OSCP這張證照含金量和CP值蠻不錯的，值得花時間準備，推薦大家可以試試看。如果有關於這張證照的其他問題，可以留言問我。最近想要準備OSWE/OSEP，如果有幸考過再上來分享。

下篇預告: Local File Inclusion / Remote File Inclusion