拿下 OSCP 一直是我的目标。但由于 PEN-200 课程的价格很高,再加上我之前已经参加过一些结构类似的昂贵课程,这个目标对我来说显得有点遥不可及。
2023年11月24日,我终于下定决心购买了3个月的学习计划,并在2024年2月25日完成了课程。我只做了9台机器中的6台,也完成了课程资料的学习。由于我还有其他事情要处理,没法一直“Try Harder”,所以从2月到6月这段时间,我只是简单整理了一下课程笔记,希望考试时能更顺利。
考试那天,我一开始就掉进了一个“兔子洞”。在一个误报点上浪费了好几个小时,不断重置机器,重新枚举,再重置,再试图做横向渗透、用 BloodHound 分析……但完全没效果。这让我非常沮丧,因为我原计划是先在 AD 场景中拿下 40 分。这是我见过最疯狂的 AD 场景,看起来像是坏掉了一样,但我知道它一定有某种突破口。
至于独立的机器,我在一些小技能和专注力方面犯了错。有一台机器需要用到编程技能,而我编程方面不是很强。考试时我花了好几个小时坐在电脑前,对着几台机器思考如何攻击,结果因为注意力不集中而吃了大亏。
总的来说,我意识到我的几个主要错误是:
•只依赖 PEN-200,没有多去练 HTB、THM 或 Proving Grounds 上的机器;
•过度依赖帮助,例如 AI 工具或 Discord 社区解决一些小问题——尤其是编程问题我几乎全靠 AI;
•在做课程机器时没有控制在 24 小时内完成,我应该用考试那种方式去对待每一个 PEN-200 挑战;
确实,考完之后一个 flag 都没找到感觉特别糟糕,会开始质疑自己的能力,被“兔子洞”套牢的感觉更让人崩溃。我打算再考一次,虽然现在还不知道什么时候或以什么方式,但这一次我一定会走出 PEN-200 的框架去学习,只是目前还没明确具体该怎么做。
扫一扫
4817
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
