Writer:b1uef0x / Webページ建造途中
2025年11月にOSCP+を取得したので、試験を突破するまでにやったことなどをまとめた。試験で沼ったり勉強した一連の記録である。攻略の参考になれば嬉しい。
なお記事は2025年11月時点のOSCP+の内容を扱っており、今後試験の内容や形式が変わっていくかもしれない。
Offsec社が提供しているペネトレーションテスト分野の資格で、Offsec社の難易度区分ではレベル2とされている。Kali Linuxを用いてWindows及びLinuxのサーバーに対するペネトレーションテストの基礎技術を取り扱っている。「OSCP+」が資格名で、「PEN-200」がトレーニングコース名である。
OSCPの資格には合格日が記載されるだけで失効せずも維持コストもかからないが、2024年11月から維持コストのかかるOSCP+が追加された。試験に合格するとOSCPとOSCP+の両方を取得でき、OSCP+のみ3年の有効期限が存在する形式になっている。
長時間に及ぶ実技試験が大きな特徴になっている。23時間45分の実技試験と24時間のレポート作成の合計47時間45分からなり、試験は自身で用意したマシンからVPN接続して遠隔で行う。Webカメラでデスク周辺が監視されるので、マシン周辺は整理しておく必要がある。
試験マシンは3台のスタンドアロンマシンと3台1セットのAD(Windows Active Directory)セットで構成されている。スタンドアロンマシンは1台ごとに初期侵入10点、権限昇格10点で、3台で合計60点。ADセットは1台目と2台目の権限昇格でそれぞれ10点、3台目のDC(ドメインコントローラ)の権限昇格で20点、3台で合計40点。満点は100点となる。ADセットのみ最初の1台のログイン情報を持った状態で開始する。
前提として、私にはペネトレーションテストの業務経験はなく、攻撃的技術の土台は実質的にCTFである。HackTheBoxのアカウントだけは何年か前に作ったが長らく放置しており、攻略対象のIPを与えられてまずnmapをかけるところから覚えることになった。
PEN-200は3ヶ月コースで2024年の12月~2025年2月末までコース教材を学習した。教材のボリュームに対して十分な時間が取れたとは言い難く、3ヶ月でシラバスをすべて終わらせたが、チャレンジラボは実施できなかった。更に4月から1ヶ月間課金してチャレンジラボを攻略して、OSCPの試験範囲のチャレンジラボを完了させた。ここまでの教材の内容をチートシートとして手元でまとめている。
5月末に試験を受験。
| 時刻 | 内容 | 点数 |
|---|---|---|
| 12:30 | 12:00開始だったが接続や準備に手間取ってこの時間に開始する | |
| 18:00 | 各試験マシンの列挙と情報抽出を試みるが、1つのスタンドアロンマシンでクレデンシャル情報の断片を入手しただけで終わる | |
| 19:00 | 諦めて近所の寿司屋に行く | |
| 19:30 | 試験再開 | |
| 00:00 | 各スタンドアロンマシンのクレデンシャル情報を入手するが初期侵入できず、シャワーを浴びて就寝 | |
| 06:00 | 起床して試験再開 | |
| 10:00 | スタンドアロンマシンAの初期侵入に成功する | 10点 |
| 11:45 | それ以上の進展がなく試験終了 | 10点 |
概ね最初の6時間で打ちのめされており、結果は惨敗であった。レポートを作成する気すら起きなかった。
全く実力が足りないことがわかったので、次回試験までに徹底的にマシン攻略を積み上げることにした。
1回目の試験の少し前ぐらいに、放置していたHackTheBoxのアカウントを再稼働させてVIP+まで課金した。昔アカウントを作ったときは何をやればいいのかわからず進まなかったが、今回はPEN-200のコースを終えているので最初からマシンを解き進めることができた。
Activeマシンを中心に攻略を行い、積極的にランクアップを目指した。
| 日付 | 内容 |
|---|---|
| 5/18 | Script Kiddie Rankに昇格(あまり嬉しくない称号だ) |
| 5/22 | Hacker Rankに昇格 |
| 7/9 | Pro Hacker Rankに昇格 |
| 8/24 | Elite Hacker Rankに昇格 |
Elite Hackerに昇格するにはChallengesのCTF問題まで手を付ける必要があるので、マシン攻略だけならここまでやる必要はない。アクティブなマシンはHardまで全完してInsaneも半分ほど攻略し終えた。
HackTheBoxのWindowsマシンはOSCPに比べるとずっとモダンな攻撃手法を扱っており、明らかなオーバースペックだが、知識は多すぎても困ることはない。
Offsecが公開しているマシン攻略環境のProving Grounds Practiceに課金して、以下のPWK V3 LISTを中心にマシンを攻略した。8月末までに50以上のマシンを攻略した。
HackTheBoxは低難易度でも1つのマシンで多段階の展開を踏むが、Proving Groundsは初期侵入と権限昇格の2つのフェーズからなるサイズ感がちょうどいいマシンが揃っていると思う。
9月頭から再び利用できるようにしたので、OSCPの試験に近いマシン4セットを復習した。
HackTheBoxとProving GroundsではAD環境の横展開を学習できないので、ポート転送などはここで確認を行った。
PEN-200の教材で使用する手法やツールは古いものが多く、現在では便利で強力なツールが増えている。HackTheBox及びProving Groundsの攻略を通じてツール類を一新して攻撃力を高めた。
新規導入したツールの一部を紹介する。
手持ちのチートシートはHackTheBoxとProving Groundsで鍛え直して大幅な改定を行った。HackTheBoxを取り込んだことでOSCPの試験範囲をオーバーする規模になったが、総合的な火力は大きく向上した。
9月頭に試験を受験。
| 時刻 | 内容 | 点数 |
|---|---|---|
| 13:00 | 試験開始 | |
| 16:00 | 何一つ進まないまま夕食、ここまでやって前回と同じ流れで不安になる | |
| 19:50 | スタンドアロンマシンCの初期侵入に成功 | 10点 |
| 23:00 | 夜食 | |
| 04:00 | 夜通し攻略を継続するが進捗がなく、ついに不合格体験記を検索し始める すると体験記の一つで、自動列挙ではすべてを網羅できないという記述を見つける 作問者が自動列挙を意図的に外してくると想定して、改めて手動列挙を始める | |
| 04:20 | スタンドアロンマシンAを丁寧に列挙して初期侵入に成功 | 20点 |
| 04:50 | スタンドアロンマシンAの権限昇格に成功 | 30点 |
| 06:30 | スタンドアロンマシンBを手動で列挙して初期侵入に成功 | 40点 |
| 07:00 | スタンドアロンマシンBの権限昇格に成功 | 50点 |
| 07:30 | ADマシンAに対するRDP接続でずっと不都合があったが、不都合を解消してADマシンAにログインする | |
| 08:05 | ADマシンAの権限昇格に成功 | 60点 |
| 12:45 | 残り10点まで追い詰めたが、以後進展がなく試験終了 | 60点 |
2回目の試験では合格直前まで行ったが、一押し足りなかった。合格点には達していないがレポートを作成して、減点されないことを確認することにした。
翌日の06:45にレポートを提出、5日後に60点でリザルトが返された。レポートが減点されないことを確認した。
2回目の受験で技術的にはこれ以上強化する必要はないと判断した。足りないのはOSCPという試験の性格の理解だ。1回目の試験では何の情報も得られなかったが、2回目では60点を取ったので試験についての理解が進んだ。
内容に言及しない範囲で短くまとめると、以下のようなものがある(非公開のシートではもっと長々とたくさん書いている)。
チートシートにはこのようなマインドでの対応方法を追加して攻略手順に反映にした。それ以外新しいことはやっておらず、HackTheBoxの新規マシンや未攻略のChallenge Labを攻略して知識を増やし続けた他は、Offsecの別のコースの学習を進めていた。
10月末に試験を受験。
| 時刻 | 内容 | 点数 |
|---|---|---|
| 13:00 | 試験開始、ADセットからスタート | |
| 14:00 | ADマシンAの権限昇格に成功 | 10点 |
| 14:30 | ADマシンの列挙中にスタンドアロンマシンAを調べて初期侵入の手がかりを見つける | |
| 15:00 | スタンドアロンマシンAの初期侵入に成功 | 20点 |
| 15:30 | ADマシンBに初期侵入 | |
| 17:30 | ADマシンC(DC)に初期侵入 | |
| 18:00 | ADマシンC(DC)の権限昇格に成功、夕食休憩 | 40点 |
| 18:30 | 試験再開、スタンドアロンマシンBとCを列挙、2回目の試験後に想定したマインドセットが通じなくて不安になる | |
| 21:00 | スタンドアロンマシンAが進捗 | |
| 23:10 | 休憩、夜食 | |
| 00:00 | 試験再開、スタンドアロンマシンBとスタンドアロンマシンCが煮詰まったので別のマシンに戻る | |
| 01:10 | スタンドアロンマシンAの権限昇格に成功 | 50点 |
| 01:35 | ADマシンBの権限昇格に成功、ADセットをクリア | 60点 |
| 05:30 | スタンドアロンマシンBとスタンドアロンマシンCを調べるが成果なし、朝食 | |
| 06:00 | かなり目が重くなってきて仮眠を取る | |
| 10:00 | 起床して再開、前日上手くいかなかった列挙を改めて見直して動作させる | |
| 11:05 | スタンドアロンマシンBの初期侵入に成功、合格点に到達 | 70点 |
| 11:30 | スタンドアロンマシンBの権限昇格に成功 | 80点 |
| 11:50 | 残り1時間となったので、レポートの材料と提出済みのフラグの確認を優先。スタンドアロンマシンCからは戦略的撤退 | |
| 12:45 | 試験終了 | 80点 |
| 14:00 | 昼食は寿司に付いた負けイメージを払拭するために勝利の寿司とした |
ADセットはイメージ通りにDCまで進行した。スタンドアロンマシンは2回目の試験の内容とは真逆の傾向でとても焦ったが、HackTheBoxでExploitやRCEを刺しにいく力を鍛えたことが功を奏し、最終的には点数につなげることができた。
当日中の21:30に30ページのレポートを提出して、6日後にOSCP+の合格通知が届いた。
ここまでまとめると合格体験記というより激闘の記録になってしまったが、Offsecの非公式スローガンであるTry Harderを実践できたんじゃないかと思う。
PEN-200に限らず、Offsecの演習環境には回答や解説が用意されておらず、公式Discordからヒントを得て自力で問題を解決する必要がある。問題を解決するには時間をかけて情報を探して可能性を試していく必要があり、24時間に及ぶ実技試験でも考えられる可能性をしらみ潰しに試していくことが要求される。長時間に渡って集中力が必要だが、暗記して多肢選択式の資格試験などに比べれば、試験自体が非常に面白くやり甲斐のあるものになっている。もっと頑張れる人には打ち込んで楽しめるトレーニングコースだと思う。