見出し画像

#86 OSCP

tkusa

 昨年の年末に受講をはじめ、コツコツと勉強を進めていたOSCP。昨日から今日にかけて受験しました!疲労困憊ですが、これからレポート作成をしなければいけません。最後まで気を抜かずがんばります。

※合格でした。

 通常のOSCPは、受講期間3ヶ月ですが、仕事をしながらどこまで勉強時間を確保できるかわからなかったのと、お得になっていたのとで、1年間受講できるコースに申し込みました。確か、$2000ぐらいでした。でも高いですよね。

 受験までの準備と、本番試験の戦闘状況を記録しておこうと思います。僕が受講中の2023年4月ごろからコースの内容が一新されたので、今後受験される方の参考になればと思います。


受講開始ー受験まで

テキストの勉強

 OSCPの受講を開始すると、受講者ポータルでテキストや動画が閲覧できるようになります。またLabと呼ばれる、システムの模擬環境が用意されているので、自由に攻撃を試すことができます。
 僕は、最初の3ヶ月ほどをかけて、じっくりテキストを読み込んで練習問題を解きました。練習問題にも、それぞれ専用のマシンが用意されていて、実際にコマンドを実行して理解を深めることができます。

コース 一新される

 Labの攻略に取り組みはじめたところで、OSCPのコースが一新されました。最初は、こりゃ大変だなと思いましたが、テキストには最新の内容が盛り込まれ、Windows7がのさばっていたLab環境も更新されたので、ラッキーだったかもしれません。実際に企業のネットワークでよく使われているActive Directoryが重要視されるようになり、試験の比重も重くなっています。

Lab攻略

 ここからは、Labを攻略しながら、最新のテキストを読み進めました。新コースのLabは6つの環境が用意されています。

  • Medtech

  • Relia

  • Skylark

  • OSCP A

  • OSCP B

  • OSCP C

最初の3つは、実際の企業ネットワークを模した環境で、ペネトレーションテストの実践演習ができます。残りのOSCP A, B, Cは、試験とほぼ同一の環境で、本番試験の対策ができます。

 Medtech、OSCP A、Relia、OSCP Bと攻略したところで、かなり自信がついたので、試験の予約をしました。丸2日を要する試験なので、3連休にぶち込んでいます。

余裕があればSkylarkもやりたかったですが、めちゃくちゃ難しく、試験では問われない内容も出てくるとのことだったので、とりあえずパスしました。

 試験1週間前からOSCP Cの攻略をはじめ、攻撃手法の確認と理解の足りないところを復習しました。試験時にあせらないよう、チートシートも着々と整理していきます。


試験当日

 試験は土曜日の13:00開始でした。朝は通常通り起きて、部屋の掃除と試験環境の用意、PCのバックアップを取るなど準備をしました。

用意したもの

  • 食べ物、飲み物(甘い物多め)

  • パスポート

  • パスポートのスキャン(試験の監督者に見せるため)

  • ウェブカメラ(試験中は監視される)

  • ノート

 試験前に身分証明を行い、部屋全体をカメラで映す必要があります。電子機器は、手の届く範囲にあってはいけないので、試験で使用するPCやモニター以外は部屋の隅に追いやります。

モニター使えず

 試験開始の15分前から、この認証作業を行うのですが、ちょっとしたアクシデントがありました。モニターを使って2画面で受験したかったのですが、なぜか1画面しか共有されてないと言われました。試験官が全画面確認できないとだめなので、このままでは受験できません。いろいろ試しても解決しないので、試験開始時間を30分すぎたところで諦め、ノートPCの小さい画面で受けることにしました。

試験開始

 認証が終わると、試験環境に接続するための情報が送られてきます。攻撃の対象は独立したマシン3台と、Active Directoryネットワーク(3台)です。開始が遅れましたが、時間は十分あるので、落ち着いて取り組めました。

 休憩は好きなときに好きなだけ取れます。席を立つときには、試験官にチャットで伝える必要があります。僕は、2時間ぐらいごとに10〜30分ぐらい休憩を取りました。

 24時までにはマシン3台を攻略できて、ちょっと気持ちに余裕があったので2時〜7時のあいだぐっすり寝られたので良かったです。最後のActive Directoryネットワークがなかなか攻略できなかったのですが、朝、冴えた目で見直したら超重要な情報を見落としていたのに気づいて、あっさりクリアできました。睡眠が一番大事。

 2時間ほど残して、マシンはすべて攻略できました。残り時間は、攻撃フローの最終確認とレポート用のスクリーンショットなどを取り直して過ごしました。まさか完全攻略できると思っていなかったので、ウィニングランみたいな気分でしたが、合格通知をもらうまでが戦いです。最後の1秒まで手を動かしていました。

レポート

 これからレポートを書きます。ブログをやっている場合じゃありません。レポートは、プロレベルのクオリティのものを英語で書いて、24時間以内に提出しなければいけません。もうひとがんばりです。


まとめ

 エンジニアとして仕事を始める前から憧れていた、OSCPを受験して、成長を実感しました。まだ結果はわかりませんが、OSCPはゴールではありません。ここからが本当の戦いです。


EOF

この記事が気に入ったらサポートをしてみませんか?