В 2024 году я сдал OSCP со второй попытки. Первый раз вышел с 60 баллами из 70 нужных - AD-сет прошёл за два с половиной часа, две standalone-машины забрал полностью, а на третьей потерял пять часов в rabbit hole внутри веб-приложения. Вышел из экзамена с ощущением, что не хватило не знаний, а дисциплины. Вторая попытка - 14 часов, всё чисто. Разница была не в количестве решённых машин на HTB между попытками, а в перестроенном процессе. Эта статья - дорожная карта OSCP подготовки, которую я хотел бы иметь перед первой попыткой.
OSCP экзамен в 2025: что изменилось и сколько стоит
С 1 ноября 2024 года OffSec обновила формат: при успешной сдаче выдаётся OSCP+ с трёхлетним активным статусом. Продлить можно через пересдачу, другую сертификацию OffSec или CPE-программу. Базовый OSCP при этом остаётся пожизненным - если OSCP+ истекает, lifetime-статус никуда не денется (согласно OffSec Recertification FAQ).Экзамен длится 23 часа 45 минут активного тестирования плюс 24 часа на отчёт (согласно OffSec OSCP Exam Guide). Структура баллов:
- 3 standalone-машины - по 20 баллов каждая (10 за initial access, 10 за privilege escalation)
- 1 AD-сет из 3 хостов - 10/10/20 баллов. С 2024 года вы начинаете с выданными доменными credentials в режиме assumed breach (grey box), а не атакуете AD извне
- Порог прохождения - 70 из 100 баллов
- Бонусные баллы за упражнения убраны с ноября 2024
Пакет PEN-200 (курс + 90 дней лабораторного доступа + одна попытка экзамена) стоит $1 649 (данные за 2024 год, источник: отчёт выпускника на Habr). В рублях - ориентировочно 140 000–165 000 в зависимости от курса на момент оплаты. Дополнительные месяцы лабораторного доступа докупаются отдельно. Пересдача возможна после cooldown-периода в шесть недель.
Корпоративная компенсация. Ряд российских компаний, работающих в пентесте и red team, практикует частичную или полную оплату OSCP. Типовые условия: компенсация при успешной сдаче или обязательство отработать 12–18 месяцев после получения сертификата. Перед покупкой стоит поговорить с руководителем - наличие OSCP в команде часто интересует клиентов на стадии пресейла. Актуальные вакансии с требованием OSCP можно найти на hh.ru по запросу «OSCP пентестер» или «offensive security».
Дорожная карта OSCP подготовки: 90 дней до экзамена
Самая дорогая ошибка - покупать PEN-200 до готовности. Таймер лабораторного доступа стартует сразу после оплаты, и если первый месяц уходит на основы Linux - треть оплаченного времени сгорает на то, что можно было закрыть бесплатно. По оценке выпускника с четырьмя попытками (Habr, 2025), курс и лаборатории PEN-200 покрывают около 30% того, что реально нужно на экзамене. Остальное - самостоятельная практика.Требования к окружению:
- Kali Linux (VM или bare metal): минимум 8 ГБ RAM для комфортной параллельной работы с Burp Suite Community и Nmap
- Для AD-практики (GOAD Lab): 16–24 ГБ RAM - разворачивается несколько доменных контроллеров
- Стабильный интернет для VPN-подключения к HTB/Proving Grounds
- Obsidian или CherryTree для заметок - выбирайте до начала подготовки, не в процессе. Потом будет поздно менять, а искать команду для Kerberoasting в трёх разных местах - удовольствие сомнительное
Фаза 1 - фундамент до покупки PEN-200 (дни 1–30)
Цель - закрыть базу так, чтобы PEN-200 стал углублением навыков, а не ликбезом.Дни 1–10: Linux, сети, скриптинг. TryHackMe Linux Fundamentals (части 1–3). Ежедневная практика: права файлов, поиск SUID-бинарников (
find / -perm -u=s -type f 2>/dev/null), cron-задания, содержимое /etc/passwd и /etc/shadow. В терминах MITRE ATT&CK это Credential Access через /etc/passwd and /etc/shadow (T1003.008) и Privilege Escalation через Setuid and Setgid T1548.001 - на экзамене встречаются регулярно.Дни 11–20: веб-атаки. PortSwigger Web Security Academy - бесплатные лабы по SQLi, XSS, LFI, SSRF. Покрывает Injection (A03:2021) и Broken Access Control (A01:2021) из OWASP Top 10. Научитесь работать с Burp Suite Community: Interceptor, Repeater, Intruder. Понимание HTTP-запросов в сыром виде - тот навык, который отделяет тех, кто сдаёт, от тех, кто нажимает кнопки и надеется на автоматику.
Дни 21–30: повышение привилегий. Самый критичный навык на OSCP экзамене - без него никуда. Linux PrivEsc: комната на TryHackMe + курс TCM Security (доступен бесплатно на YouTube). Windows PrivEsc: token impersonation, AlwaysInstallElevated, unquoted service paths, weak service permissions, DLL hijacking. Прогоните LinPEAS/WinPEAS через намеренно уязвимые VM и научитесь читать каждую секцию вывода. «Красные строки» в LinPEAS - подсказка, а не ответ. Если слепо копировать то, что выделено красным, без понимания контекста - на экзамене это не поможет.
Контрольная точка: к концу фазы 1 получите root на пяти Easy-машинах HackTheBox без writeup'ов. Не получается - продлите фазу на неделю. Не покупайте PEN-200.
Фаза 2 - PEN-200 и работа в лабах (дни 31–70)
Запускайте подписку PEN-200 на день 31. С этого момента каждый день стоит денег.Дни 31–45: PDF-методичка и первые машины. Руководство PEN-200 - около 600 страниц по веб-пентесту, privesc на Linux и Windows, атакам на хеши и Active Directory. Раздел про эффективное обучение идёт одним из первых и реально помогает структурировать процесс (метод Фейнмана, PDCA - звучит как менеджерская чушь, но работает). Параллельно решайте первые 10 машин из лабораторной сети. Enumeration-flow, который должен стать автоматическим:
Bash:
nmap -p- -sV -sC -oA full_scan TARGET_IP
nmap -sU --top-ports 20 TARGET_IP
gobuster dir -u http://TARGET_IP -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x php,txt,html
searchsploit "service_name" "version"Дни 46–60: Active Directory. AD-сет стоит 40 баллов и начинается с выданных credentials (assumed breach). Отработайте ключевые атаки: Kerberoasting, AS-REP Roasting, Pass-the-Hash, DCSync - техника Exploitation of Remote Services (T1210, Lateral Movement). Используйте BloodHound для визуализации путей эскалации - без него AD-сет превращается в блуждание вслепую. Рекомендую развернуть GOAD AD Lab (open-source, автоматическое развёртывание AD-среды) и пройти серию Mayfly по GOAD для техник, не покрытых в PEN-200.
На HackTheBox - retired AD-машины Forest, Active, Sauna. Обязательно смотрите видеоразборы от IppSec после каждой машины. Его методология поиска уязвимостей в AD-средах - лучший обучающий ресурс из доступных. Я пересмотрел его разбор Forest три раза, и каждый раз замечал что-то новое.
Дни 61–70: исследование эксплойтов. Workflow с searchsploit и Exploit-DB: найти публичный эксплойт -> прочитать код -> модифицировать под цель -> проверить. На экзамене часто придётся править чужие PoC - это не опционально, это обязательный навык. Половина публичных эксплойтов не работает «из коробки»: хардкоженный IP, устаревшие зависимости, неверный offset. Покрывает технику Exploit Public-Facing Application (T1190, Initial Access).
Фаза 3 - имитация экзамена (дни 71–90)
Дни 71–80: Возьмите TJ_Null's OSCP-like machine list для HackTheBox - де-факто стандартный тренировочный набор. Целевая метрика: root Easy-машины за 2 часа, Medium - за 3–4. Застряли на 30 минут - проблема в enumeration, а не эксплуатации: добавьте UDP-скан, перечитайте вывод nmap, проверьте скрытые директории. Девять из десяти «тупиков» - это пропущенный сервис или директория.Дни 81–90: Напишите минимум три полных отчёта по решённым машинам в формате OffSec. Скриншоты каждой команды, каждого proof.txt. Подготовьте шаблон отчёта заранее. Перечитайте OffSec Exam Guide: ограничения инструментов, формат скриншотов, требования к отчёту. Распечатайте или сохраните локально - во время экзамена на это не будет времени.
Лабораторные платформы для OSCP подготовки
| Платформа | Сильные стороны | Слабые стороны | Когда использовать |
|---|---|---|---|
| Proving Grounds (OffSec) | Машины от создателей экзамена, максимальная близость к формату | Менее разнообразные техники, слабое комьюнити | После PEN-200, фаза 3 |
| HackTheBox | Сильнейшие AD-машины, видеоразборы IppSec | Часто сложнее экзамена, нужен базовый опыт | Фаза 2 для AD, фаза 3 по TJ_Null |
| TryHackMe | Пошаговые learning paths, низкий порог входа | Слишком подробный handholding для OSCP-уровня | Фаза 1, закрытие пробелов |
| PortSwigger Academy | Лучшие бесплатные лабы по веб-атакам | Только веб - нет privesc и AD | Фаза 1, дни 11–20 |
| VulnHub | Бесплатно, работает offline | Часть машин устаревшая, нет поддержки | Отработка privesc в изоляции |
Критерий выбора - не «какая платформа лучше», а какая на каком этапе. Ни одна из них полностью не воспроизводит экзаменационную среду OSCP. Ближе всего - Challenge Labs внутри PEN-200 (уровни 0–6), доступные только подписчикам.
Типичные ошибки на OSCP экзамене
Пренебрежение отчётом. Без скриншота proof.txt баллы не засчитывают. Точка. Привычку фиксировать каждый шаг нужно вырабатывать на тренировочных машинах, а не вспоминать об этом за час до дедлайна.
Количество решённых машин на HTB - метрика тщеславия, а не метрика готовности к OSCP. Я видел людей с сотней root'ов, проваливших экзамен, и людей с тридцатью, сдавших с первой попытки. Разница - в качестве работы с каждой машиной. После первого провала я перестал гнаться за числом и начал возвращаться к уже решённым машинам: искал альтернативные пути эксплуатации, смотрел 2–3 writeup'а от разных авторов, обязательно - видео от IppSec. Именно на повторных проходах формируется «насмотренность» - способность распознать Kerberoasting-сценарий за минуты, а не за часы. Экзамен покрывает полную цепочку атаки: от разведки через эксплуатацию до lateral movement внутри AD - и слабое звено в любом из этапов определяет результат. Если хочешь не просто читать writeup'ы, а пройти каждую атаку самому с прогрессией и ментором - на codeby.school есть WAPT, где эти цепочки разбирают в лабах.
Последнее редактирование модератором:
