En las últimas semanas no ha habido nuevo post puesto que he estado preparandome para el OSCP. Este es otro de los muchos artículos sobre cómo aprobar este examen y obtener la certificación más prestigiosa de Offensive Security. Sin embargo, yo he cursado la certificación en la nueva versión de 2020, por lo que quizá pueda aportar algo más de información. Y siempre es de utilidad leer esta clase de posts los días previos al examen (y lo digo por experiencia). ¡Vamos a ello!
Para empezar, comencemos describiendo la certificación OSCP. Esta certificación se obtiene realizando el curso PWK (Penetration Testing with Kali Linux). Está pensado para aquellas personas que quieran orientar su carrera al pentesting. En su página web puedes ver el temario, pero básicamente incluye todo lo necesario para poder realizar un pentesting real, de inicio a fin. Aunque se anuncia como un curso de iniciación, en el mundo del haking es conocido por su dificultad, pues se trata de un curso puramente práctico en el que necesitas tener muy claras las técnicas y herramientas de pentesting.
Mi Background
Si no me conoces, te voy contar que conocimientos previos tenía antes de empezar la certificación. Puedes saber más sobre mí en este enlace, pero a modo de resumen te diré que estudié el grado de Ingeniería Informática en la UAM (Madrid) y el máster en Seguridad de las TIC en la UOC (Barcelona).
Cuando estaba en último curso del grado empecé a trabajar en GMV, y allí pasé dos años en el departamento de ciberseguridad como Pentester Junior. Allí me saqué la certificación CompTIA Security +.
Después emigré a Irlanda y aquí llevo algo más de un año trabajando como Information Security Analyst para Global Payments.
El Curso PWK 2020
Este curso era conocido por tener un material muy escaso y antiguo, que no se correspondía con la dificultad que entraña el examen. Sin embargo, fue renovado en 2020, actualizando el temario por completo y añadiendo nuevas secciones como Active Directory y powershell.
En mi opinión es un material bastante útil, yo aprendí bastantes cosas nuevas y añadí un buen número de técnicas a mi repertorio. No obstante, no basta con leer y aprender todo lo que sale en el curso para aprobar el examen, ni de lejos. Porque esa es la esencia de esta certificación: la única manera de que apruebes es que te busques la vida y te saques las castañas del fuego por tus propios medios.
Lo interesante del curso son los laboratorios.
Laboratorios
Offensive Security ofrece tres opciones de acceso a los laboratorios distintas, cada una más cara que la anterior: 1 mes, 2 meses o 3 meses de acceso.
Yo escogí los 3 meses de acceso. Sin embargo, el primer mes lo utilicé en leer el pdf y ver los videos. Gasté bastante tiempo en esto porque me empeñé en realizar todos los ejercicios, desoyendo los consejos que otras personas me habían dado. Creo que esto fue un error. Si bien es cierto que haciendo los ejercicios y realizando un informe de 10 de las máquinas del laboratorio te dan 5 puntos de ventaja, el tiempo que perdí en los laboratorios no lo valía. Necesitas 70 puntos para aprobar el examen, y muy justo tienes que ir para necesitar esos 5 puntos de ventaja.
Mi consejo es que si consideras que tienes ya los conocimientos que aporta el material del curso, utilices tu tiempo de acceso para ir directo a por los laboratorios, que es donde realmente aprenderás y cogerás experiencia. (También he oído que es posible obtener el pdf del curso en algunos sitios de internet, y hay quien se estudiaría el contenido antes de pagar por el acceso, pero esto es algo que claramente no deberías hacer esto pues es ilegal).
Los dos meses siguientes los empleé en los laboratorios. Aquí cometí el segundo error. Este va a ser probablemente el mejor consejo que pueda darte: si quieres aprobar el examen, no mires foros o busques pistas. Te lo digo por experiencia propia, es muy difícil resistir la tentación cuando llevas media hora estancado sin poder avanzar y sabes que estás a un par de clicks de obtener una pista sobre cómo se hace. En el examen no habrá nadie a quien puedas pedirle una pista.
Esta fue una actitud que tuve durante todo el laboratorio, miraba enseguida las pistas y así ya sabía por donde tirar, ya que pensaba que era el mejor método pues así la próxima vez que apareciese esa vulnerabilidad o esa forma de escalar privilegios, ya sabría hacerlo sin mirar. Esto no es cierto, a la hora de la verdad si no has aprendido a buscar por ti mismo y analizar qué tienes ante tí, no vas a saber avanzar y suspenderás el examen.
En esos dos meses hice entorno al 90% de las máquinas de los laboratorios, pero como mi metodología era incorrecta, los laboratorios del curso no me sirvieron para prepararme el examen.
Hack The Box
Lo que más me ayudó sin duda fue HackTheBox. Yo ya llevaba bastante tiempo utilizando esta plataforma, de hecho tengo algunos posts que pueden serte de utilidad si no la conoces. Hay mucha gente que recomienda hacer ciertas máquinas ya retiradas de HackTheBox, por ejemplo las que aparecen en la lista del J_Null. Estas máquinas son parecidas a las que te puedes encontrar en el examen.
Yo, sin embargo, no te recomiendo esto. Todas esas máquinas ya están retiradas, por lo que la tentación de mirar los walkthroughs cuando te atasques será muy grande.
En su lugar, lo que yo hice y lo que te recomiendo hacer es utilizar todas las máquinas activas de nivel fácil y medio. Da igual si son más realistas o más orientadas a CTF. Lo importante es que las hagas tú mismo, sin pedir ayuda ni mirar el foro. Si eres capaz de obtener shell con privilegios de administrador en todas las máquinas de nivel medio sin pedir ayuda, entonces estás listo para enfrentarte al examen.
Otros Recursos
TryHackMe
Un par de semanas antes del examen, descubrí la plataforma TryHackMe. Decidí suscribirme para probar, ya que vi que había una «ruta de aprendizaje» especialmente pensada para prepararse para el OSCP. Esta ruta es la «Offensive Pentesting Path». Aunque la encontré muy sencilla, creo que es una muy buena forma de empezar a prepararse para el examen, por lo que recomiendo hacerla antes de comprar el tiempo de acceso. En ella te explican todo lo básico a lo largo de distintas máquinas de su laboratorio, por lo que es un aprendizaje mucho más guiado que el que HackTheBox ofrece. Además también incluye un apartado de Buffer Overflow.
Esta ruta tiene máquinas gratuitas y otras que requieren la suscripción VIP. Yo pagué directamente un mes de suscripción ya que son solamente 8 dólares. Completé la ruta en 5 días, aunque está pensada para realizarse en un par de semanas, si no cuentas con conocimientos previos.
Proving Grounds
Recientemente Offensive Security ha sacado una nueva plataforma, Proving Grounds, para practicar para el OSCP. Esta plataforma cuenta con dos secciones: Play y Practice. Play es gratuita y contiene máquinas de vulnhub. La parte interesante es Practice, que requiere una suscripción de pago ($19) pero que contiene máquinas retiradas que se utilizaron en examenes reales del OSCP. Yo lo descubrí cuando apenas me quedaban unas horas para el examen así que decidí no probarlo, pero tengo amigos que lo han cursado y su experiencia es muy buena. Si tuviera que volver a preparar la certificación, pagaría esta opción sin dudarlo.
HackingLethani
Finalmente, te recomiendo este blog, en concreto los posts que estoy subiendo últimamente sobre hacking de infraestructura, en los que muestro distintas vulnerabilidades que he ido encontrando en cada uno de los protocolos y servicios más conocidos. Creo que puede ser muy útil para aprender distintos ejemplos de formas de explotar vulnerabilidades. Puedes encontrar todos esos posts aquí.
El Método
Finalmente, quiero compartir contigo «El Método». Así es como llamo a la metodología que he ido desarrollando durante estos meses a la hora de hackear una máquina a partir de la dirección IP. Utilizando esta técnica pude hackear con éxito todas las máquinas del examen OSCP.
Las máquinas que vas a encontrarte durante el examen no son difíciles, pero si que pueden saturar en algunos casos puesto que suelen tener bastantes puertos abiertos y protocolos los cuales no siempre serán explotables.
El principal fallo que se suele cometer a la hora de realizar el examen es no tener una buena organización. Sin seguir una estructura clara, es fácil perderse y caer en los llamados «rabbitholes».
Es por ello que «El Método» empieza analizando cada puerto y protocolo abierto en la máquina objetivo. Para ello yo he probado algunas herramientas que automatizan esta fase inicial, como reconnoitre, pero en mi opinión la herramienta más útil es AutoRecon.
Una vez se hayan ejecutado todos los scripts, deberemos analizar cada resultado que nmap nos ha devuelto. Apunta cada puerto/protocolo abierto y la información interesante que hayas obtenido con nmap. Mucha gente utiliza cherrytree para apuntarlo todo. Yo prefiero utilizar las hojas de cálculo de google, así puedo tener toda la información estructurada y en línea. Pero eso es cuestión de gustos.
Lo importante es que no te centres en un protocolo. Busca toda la información que puedas sacar de cada protocolo, las versiones, si tiene web comprueba nikto y gobuster/dirb/dirbuster, comprueba cada CMS o nombre de protocolo que encuentres en searchsploit, pero limítate a apuntar los posibles vectores de explotación en tus notas.
Una vez hayas terminado de analizar toda la información que las herramientas automáticas te han devuelto, entonces puedes iniciar la explotación de aquello que veas más sencillo. Por ejemplo, si hay una máquina con ftp, smb y http, yo empezaría intentando el acceso anónimo en ftp, después comprobaría las carpetas compartidas en smb y por último comprobaría las distintas URLs que haya obtenido de gobuster e intentaría explotar las vulnerabilidades que haya encontrado en el servicio web que está ejecutándose.
De esta forma, serás consciente de todas las posibles vulnerabilidades antes de empezar a explotarlas. Esta metodología te otorga una gran ventaja por dos motivos: en primer lugar, evitas caer de lleno en rabbitholes, puesto que antes de explotar nada analizas toda la información y vas primero a por las vulnerabilidades más fáciles de explotar, y en segundo lugar, te permite ser consciente de todas las posibles vulnerabilidades que hay en la máquina, y esto es muy útil para enlazar ataques, pues en la mayoría de los casos tendrás que combinar las vulnerabilidades de dos servicios distintos para poder obtener shell de administrador.
Esta es la metodología que yo he seguido para preparar la certificación y a mí me ha funcionado, hace unos días recibí la notificación de Offensive Security que indicaba que había aprobado con éxito. Espero que esta información pueda serte de utilidad a ti también.
Después de este examen, creo que tomaré un pequeño descanso y empezaré a preparar el OSWE.
Lethani.
Muchas gracias por esta información me fue muy util!
Es muy buena información, sirve para prepararse para la certificación y para saber como empezar a estudiar seguridad informática.
Excelente información. Muchas gracias.