OSCP 受験記 – 普通のプログラマが受けてみた! (2023 Update Version)

Blog
2023.10.15

はじめまして、

今回Offensive Security社のPEN-200: Penetration Testing with Kali Linux(OSCP)を受けましたので紹介します。

OSCPとは?

Offensive Security社が提供するペネトレーション試験です

基本情報技術者試験のようなCBT試験ではなく、実際に提供されるマシンにハッキングを行い、侵入し権限昇格をしてシステムをコントロールできるかを試される試験です。

実践的な侵入テストのスキルを証明する必要がある数少ない資格

PEN-200: Penetration Testing Certification with Kali Linux | OffSec
PEN-200 (PWK) is our foundational pentesting course where students learn and practice the latest techniques. Earn your p...
www.offsec.com

OSCP難易度

ネットで検索すると高難易度といわれる試験です

トレーニング+試験はすべて英語で行われ、実技であり実践的な試験だからです

適当に調べた限りでは、以下のような記事にもOSCPは登場するのでそれなりに難しいと思います

8 Most Difficult IT Security Certifications
Specialization in cybersecurity is crucial. Understand the differences between InfoSec, ITSec, and CyberSec and their as...
www.cbtnuggets.com

筆者のスキル

ただのプログラマーでセキュリティ系の資格は持っていますが、実践的なことはからっきしです

CTF等もやったことがないため、ゼロからのスタートです

コース

2023年10月現在、3つのトレーニング+試験のコースがあります

Course & Cert Exam BundleLearn OneLearn Unlimited
価格$1599(239,146円)$2499(373,750円)$5499(822,430円)
トレーニングアクセス
期間		90日365日365日
試験受験可能回数1回2回無制限
KLCP 試験なし受験可能受験可能

自分は「Learn One」を選びました

結果的には「Learn One」が最適だったと思います

現在は円安なのでかなり割高に感じてしまいますよね…

ちなみに試験のリテイクだけのコストは$249かかります…

トレーニング

OSCPはトレーニングを提供しています

トピックの一覧は以下のURLから確認できます

Offensive Security
portal.offsec.com

ラボ

トレーニングとは別に練習用のラボマシンが用意されています

ラボマシンはChallenge1~6まで分かれており、全部で57台あります

Challengeには複数台マシンがあって、特定のマシンに侵入後でしかアクセスできないマシンもあります

管理者権限を取得することでクリアです(ローカル権限で侵入した場合権限昇格が必要です)

Offensive Security
portal.offsec.com

試験

試験はマシン6台あります

  • 3台は独立しているマシン (ローカル取得で10ポイント,管理者権限取得10ポイント)
  • 3台はActive Directoryマシン(Active Directory管理者権限取得40ポイント)

100ポイント中70ポイントで合格です

ここまで見るとActive Directoryマシン攻略が必須のように思えますが、

ボーナスポイントというものがあり、トレーニングですべてのトピックを80%、ラボマシンを30マシン攻略すると試験で10ポイント自動的に加点されます

つまり、「3台は独立しているマシン」を管理者権限取得すれば合格は可能です

Active Directoryマシン攻略は必須の気がしますが…

レポート

試験はマシンの攻略とマシン攻略の手順を詳細に書いたレポートの提出が必要です

レポートの詳細は以下のURLで確認できます

Just a moment...
help.offsec.com

試験準備

必要なものとして以下のようなものがあげられます

  • 身分証明書
  • Webカメラ

試験を受けるのに必須なものとして身分証明書が必要です

身分証明書は免許証等ではだめで、パスポートが一番望ましいです(海外の試験なので…)

忘れずに手元に置いておくことが重要です

試験中はWebカメラで手元を映しっぱなしにしなければなりません..(画面も共有されます)

試験1回目

7月くらいに受験しました

土曜日の朝8時からスタートしました

2,3時間で2台の独立したLinuxマシンの管理者権限まで取得できました

そっからは地獄で何も進みませんでした…

試験終了間際で、Active Directoryマシンの1台目の管理者権限を取得しましたが、

間に合いませんでした

レポートもどうやら管理者権限を取得したところが詳しく書かれていなかったらしく、

最終ポイントは20ポイントでした

試験2回目

試験

10月中旬の土曜に2回目を受験しました

1,2時間で1台のローカル権限しか取得できず、18時間何も進みませんでした

試験開始18時間後に、見落とし部分がありそこからはすんなりと行き、

23時間でActive Directoryマシンの攻略と2台目のローカル権限、1台目の管理者権限を取得できました

ここまでくれば70ポイント獲得したので一安心でした…

(ボーナスポイントもあって心の余裕がありました)

レポート

今回は、前回の反省を生かしてスクリーンショットをかなり細かく取得しました

丁寧に書いて10時間程度作業していたと思います

英語で書かなけれないけないので機械翻訳必須です(自分はDeeplを使いました)

結果

結果は10営業日で届くと書かれていましたが、他の方のブログを読んでいると1日だったり2,3日で

結果が届くと書かれていましたが、自分は5日程度かかりました。

結果がでるまでの5日間は心配でご飯がのどを通りませんでした…(再受験料の円安と再受験の絶望があって…)

なんとか合格できました!

次へ
12
スポンサーリンク

コメント

タイトルとURLをコピーしました