今年、OSCP+に合格しました。 私も受験するまでに様々な合格体験記を読みましたが、これから挑戦される方の参考になればと思い、本記事では私なりの視点で得られた知見を共有します。
試験の概要については、OffSec公式サイトで最新の情報をご確認ください。
合格までの道のり#
2024年6月から、PEN-200を受講しました。 当初は加点10ポイントの取得を目標に、テキストを順調に読み進め、練習問題にも取り組んでいました。
しかし8月、試験制度の変更に関する通知を受けたことをきっかけに、学習方針を大きく見直しました。それ以降は、Tj NullやLainkusanagiを参考に、Proving GroundsやChallenge Labsのマシンを中心として、ほぼ毎日1台のペースで攻略する実践重視の学習に切り替えました。
1年以内に2回受験できるLearn Oneプランを契約していたため、まずは2025年2月に初回受験しました。しかし結果は不合格。ある程度の自信があっただけに、この結果には意気消沈しつつ、自分に何が足りなかったのか自問自答して、その後しばらくはほとんど勉強できない状態が続きました。
そのまま期限が迫り、ほぼ何も知識をアップデートしないまま、同年6月に再受験。結果、無事合格することができました。
おすすめのサイトや動画#
HackTheBoxのウォークスルーや、Linux/Windowsのハッキング技術について解説。基礎から丁寧に説明されており、初学者が読んでも理解しやすい記事になっている。
ByteSized Security (YouTube動画)
マシンの実況解説や、使っているツールを紹介してくれている。内容も興味深いですが、チル系の音楽を流しながら着実に攻略を進めていく姿が印象的。リラックスして問題に取り組む姿勢を学びました。
おすすめのツール#
テキストエディタ#
学んだことは全てObsidianにまとめました。自分の知識量をグラフビューで可視化できるので、モチベーションアップにもつながりました。マイルールとして、全てMITRE ATT&CKと関連づけるようにタグ付けしていました。後になって、これはレポート作成に活きると実感しました。
マシン攻略中、一時的なメモを残すためにSublime Textを使っていました。自分の中でさらに格上げすべきと判断した情報は、cherrytreeに書き写しました。
ターミナル#
terminator
必需品です。tmuxはあまり自分とは相性が合いませんでした。
ブラウザのお気に入り(ブックマーク)#
Kali Linuxのブラウザに登録していたブックマークをご紹介します。
もちろんsearchsploitでも検索できますが、Webブラウザの方が見やすいと感じています。
これが唯一解となることは稀かと思いますが、忘れないために登録しています。
さいごに#
試験対策を通してTry Harderの精神を身につけることができました。OffSec社の意図や目的がそこにあるとすれば、OSCPはその狙いに成功している試験だと感じています。