Review Sertifikasi OSCP
Review Sertifikasi OSCP. Saya lulus ujian sertifikasi OSCP pada Februari 2023, dan berikut adalah ulasan mengenai ujian tersebut.
Pendahuluan
Saat artikel ini ditulis, saya sudah mengambil ujian sertifikasi lain seperti CRTO, CRTP, PNPT, OSEP, dll. Namun saya akan mencoba untuk menulis pengalaman bedasarkan apa yang saya rasakan dan saya alami sebelum dan sesudah ujian OSCP ini agar lebih relevan.
OSCP merupakan sertifikasi pertama saya di bidang cyber security, dan saya pun sebenarnya mengambil sertifikasi ini lebih ke karena tuntutan dari perusahaan. Saat saya mengambil ujian OSCP pada Februari 2023, format exam sudah berubah dimana implementasi satu set Active Directory sudah diberlakukan dalam exam. Dan jujur saya waktu itu hal tersebut memang membuat "takut" karena saya tidak memiliki pengalaman samasekali dalam hal eksploitasi Active Directory.
Yep, saya (bisa dibilang) memiliki pengalaman untuk melakukan kegiatan pentesting pada infrastruktur dengan mesin Linux, mobile apps, ataupun web apps. Namun untuk environment Windows, jangankan melakukan eksploitasi, sekedar mengecek lokasi direktori temp di Windows saja saya harus googling dulu waktu itu.
Persiapan
Seperti yang saya ceritakan diatas, memang agak mengerikan awalnya ketika akhirnya tiba giliran saya untuk mengambil sertifikasi ini. Di tempat bekerja saya (PT. Mitra Integrasi Informatika), memang diadakan program sertifikasi OSCP bagi siapapun yang belum memilikinya. Dan ini sifatnya wajib. Yang membuat takut adalah karena ketidaktahuan saja di eksploitasi AD, serta beberapa review mengatakan ujiannya sulit, dll.
Oke, setelah membeli course PEN-200 (materi untuk exam OSCP), saya memang melewati beberapa materi awal seperti bash scripting hingga PE pada mesin Linux. Saya langsung lompat ke topik enumerasi hingga eksploitasi Active Directory.
Untuk course sendiri sebenarnya waktunya 90 hari (opsi course PEN-200 30 hari sudah tidak ada ketika saya mengambil ujian ini). Waktunya seharusnya lebih dari cukup untuk menamatkan semua materi di PEN-200, namun karena waktu pengambilan course saya yang bisa dibilang "kurang tepat", sehingga saya melewati banyak waktu untuk mempelajari materinya. Kebetulan saya membeli PEN-200 di akhir tahun, dan kebetulan load kerjaan di akhir tahun juga lumayan menguras tenaga. Sehingga diluar jam kerja saya pakai untuk tidur. Itulah alasan saya melakukan skip pada beberapa materi, agar seluruh materi tentang Active Directory (yang saya takuti) bisa tercover sebelum waktu ujian tiba.
Passing Scenario
Berikut adalah gambaran skenario bagaimana kalian bisa lulus ujian OSCP.
- 40 pt AD + 3 local.txt flags
- 40 pt AD + 2 local.txt flags + 1 proof.txt flag
- 40 pt AD + 2 local.txt flags + bonus points
- 40 pt AD + 1 proof.txt + 1 local.txt + bonus points
- 3 fully completed non-AD machines + bonus points
Skenario awal yang saya persiapkan adalah mengerjakan satu mesin standalone dan mendapatkan flag root/administrator, kemudian mendapatkan low user dari satu mesin standalone lagi. Artinya di titik ini saya mendapatkan 30 poin. Selanjutnya mengerjakan set AD untuk mendapatkan 40 poin. Total minimum poin tersebut untuk memastikan kelulusan OSCP.
Ujian
Oke saat ujian telah tiba. Saya saat itu mengambil start di jam 5 pagi. Karena saya berpikir memulai exam di jam itu dengan otak yang masih fresh, maka ujian akan lebih mudah dilaksanakan. Untuk mesin standalone mungkin karena lagi hoki, saya mendapatkan 2 mesin Linux dan 1 mesin Windows. Tentu saja yang saya targetkan adalah dua mesin Linux terlebih dahulu. Solusi dari soal atau mesin yang saya kerjakan cukup straight forward, tidak banyak rabbit hole. Sehingga di satu jam pertama, saya sudah berhasil mendapatkan akses root dari dua mesin standalone, yang artinya 40 poin sudah di tangan.
Mungkin dikarenakan ketakutan saya terhadap eksploitasi Active Directory, saya membuang banyak waktu di AD sets. Berfikir terlalu jauh yang padahal solusinya didepan mata, dll. Singkat cerita, saya baru berhasil menyelesaikan AD sets di jam 4 sore. Di titik itu sebenarnya sudah ada niatan untuk menyudahi saja examnya, karena berdasarkan flag yang didapat poin yang terkumpul sudah 80. Namun karena waktu masih sangat panjang, saya akan coba untuk menyelesaikan mesin terakhir. Tapi sebelum itu saya coba cek lagi seluruh screenshot yang saya kumpulkan pada mesin yang berhasil di compromised, memastikan tidak ada bukti atau proof untuk keperluan reporting yang tertinggal.
Saya baru mulai start lagi di jam 7 malam, dan berhasil mendapatkan flag low user 30 menit kemudian. Sempat mencoba untuk mendapatkan akses Administrator, namun tidak berhasil. Mungkin karena sudah dirasa aman dengan 90 poin, saya sendiri tidak berusaha lebih keras lagi untuk mesin terakhir ini, dan akhirnya memilih untuk beristirahat sebelum melakukan reporting di hari berikutnya.
Oh iya, sebagai catatan tambahan, waktu exam adalah 24 jam, dan waktu reporting juga 24 jam setelah waktu exam habis. Namun jika kalian berhasil menyelesaikan exam kurang dari 24 jam, katakanlah dalam waktu 10 jam kalian merasa sudah cukup untuk mengumpulkan poin kelulusan, jangan klik end exam pada portal ujian OSCP. Karena perhitungan waktu 24 reporting akan dihitung mulai sejak kalian melakukan klik end exam. Jadi kalau memang kalian merasa sudah cukup poin dan masih menyisakan banyak waktu ujian, lebih baik izin saja ke proctor untuk istirahat. Tidak perlu end exam sebelum 24 jam.
Reporting
Untuk format atau template reporting sebenarnya bebas, dan banyak bertebaran di internet. Toh dari pihak OffSec sendiri tidak mengharuskan report harus dengan kualitas company-graded. Namun pastikan setiap temuan dilengkapi dengan penjelasan dan juga screenshot.
Yang perlu ditulis didalam report hanyalah bagaimana kalian mendapatkan akses kedalam mesin, serta cara melakukan privilege escalation. Mirip report untuk writeup CTF, tidak perlu report pentest yang harus mendetail. Cukup fair sebenarnya karena waktu yang disediakan untuk reporting hanya 24 jam. Meskipun cukup menguras tenaga juga reporting 24 jam setelah dihajar intensitas exam yang juga 24 jam.
Singkat cerita, setelah menunggu sekitar satu hari setelah submit report, saya mendapatkan notifikasi bahwa saya lulus ujian OSCP.
Tips Ujian OSCP
Jika kalian berniat mengambil ujian OSCP, berikut tips dari saya.
- Focus on Your PEN-200
Banyak orang menyarankan untuk membeli resource tambahan seperti HackTheBox Pro Labs dll untuk mempersiapkan OSCP. Namun menurut saya itu tidak perlu. Cukup fokus aja pada materi di PEN-200, kerjakan latihan disana, dan kalian akan siap untuk melaksanakan ujian OSCP. Saya pastikan seluruh challenge yang kalian temui di exam nanti pasti sudah dibahas di course PEN-200.
- Prepare Your Good Notes
Selama mempelajari course PEN-200, catat tips, tools, ataupun command yang kalian rasa perlu dicatat. Notes itu akan berguna selama exam nanti (dan kalian diijinkan untuk membuka notes, karena ujian ini bersifat open book). Untuk notes sendiri kalian bisa manfaatkan CherryTree, Obsidian, Notion, dll.
- Comfortable with Your Tools
Selama ujian kalian akan menggunakan tools tools enumerasi dan eksploitasi seperti Crackmapexec, Nmap, PowerView, PowerUp, WinPEAS, LinPEAS, dll. Pastikan kalian sudah nyaman menggunakan tools tersebut. Jika merasa ada command yang perlu dicatatat, siapkan pada notes kalian.
- Stick with The Rules
Pastikan kalian membaca peraturan exam yang ditulis disini: OSCP Exam Guide.
Ada beberapa tools autopwn dan autoscan seperti SQLmap yang dilarang dalam ujian. Tools enterprise seperti Burp Professional, Nessus, dll juga dilarang.
Saya masih ingat bagaimana teman saya gagal ujian karena tidak mengikuti rules. Padahal saat ujian, teman saya berhasil menyelesaikan mesin AD dan mendapatkan akses root di dua mesin standalone. Sehingga seharusnya poin akhir yang didapat adalah 80.
Namun, dikarenakan cara dia mengambil flag di mesin AD sets bukan dari shell interaktif, poin akhir AD sets miliknya dianggap 0. Yep, dia mengambil flag menggunakan flag -x pada CrackMapExec. Hal ini jelas tidak memenuhi kriteria bahwa flag harus diambil dari "interactive shell".
Sangat disayangkan jika kalian gagal ujian gara-gara hal sepele seperti ini.
Atau gagal gara-gara menggunakan metasploit pada dua mesin standalone berbeda. Padahal di rulesnya jelas bahwa Metasploit Framework hanya diijinkan pada satu mesin saja.
Intinya, pastikan kalian membaca dan mematuhi rules yang ada. Jika ada yang belum jelas, bisa langsung ditanyakan melalui email support OffSec.
- Take Enough Rest
Ketika ujian, dan kalian mengalami kebuntuan, cobalah untuk beristirahat. Tenangkan pikiran. Banyak orang yang gagal ujian karena panik, sehingga tidak dapat berpikir jernih untuk mendapatkan solusi. Atau karena panik, malah tidak bisa tidur sehari sebelum exam. Hal ini tentu malah akan menganggu ketika hari exam tiba.
- Keep in Mind: OSCP is Entry Level Certification
Saran ini bukan ditujukan untuk meremehkan exam OSCP. Namun agar kalian tidak berpikir terlalu jauh ketika waktu ujian tiba. Jika kalian merasa exploit kalian tidak bekerja, atau service yang terdeteksi di nmap tidak kalian temukan public exploitnya entah di Exploit-DB atau di Github, tinggalkan. Berarti bukan disitu initial accessnya. Sejauh ini seluruh exploit untuk initial access di exam bisa kalian temukan berdasarkan CVE-ID, kalian tidak perlu sampai harus melakukan crafting exploit dll. Ya mungkin ada custom scripting satu atau dua baris di python, tapi tidak sampai sekompleks membuat exploit sendiri dari awal.
Tools for Crushing OSCP
Waktu ujian OSCP hanyalah 24 jam. Itu waktu yang cukup, namun juga bukan waktu yang sangat panjang. Jadi, kalian akan rugi jika waktu ujian ternyata kalian membutuhkan tool yang ternyata belum disiapkan. Ini hanyalah preferensi pribadi mengenai tool atau utilitas yang harus disiapkan sebelum ujian, meskipun kalian bebas untuk mengikuti atau tidak.
- Obsidian - Untuk notes dan catatan sementara saat ujian.
- NetExec / CrackMapExec - Berguna untuk pengujian kredensial dan service saat eksploitasi AD
- Bloodhound - Attack path mapping saat eksploitasi AD
- enum4linux - Enumerasi SMB di Windows
- naabu - Untuk port scanning yang lebih cepat dari Nmap
- msfvenom - Untuk generate payload.
- LinPEAS - Pengecekan privilege escalation vector di mesin Linux
- WinPEAS, PowerUp - Pengecekan privilege escalation vector di mesin Windows
- Mimikatz - Untuk creds dumping di mesin Windows
Glorifikasi OSCP
Saya adalah korban glorifikasi dari orang-orang yang menulis review exam OSCP di Medium (dan ini juga alasan saya menulis review ini). Mereka menulis review seolah-olah harus berdarah-darah untuk lulus OSCP, menyebabkan pembaca review berpikir ujiannya bakal sulit.
Jika kalian membaca tulisan ini, buang jauh-jauh pikiran itu. OSCP tidak sesulit itu, karena pada kenyataannya OSCP adalah sertifikasi entry-level. Payload yang kalian buat dari perintah msfvenom dapat langsung dieksekusi di mesin target. Kalian tidak harus melakukan bypass Windows Defender dll.
Solusi dari setiap tantangan juga cukup straight forward. Tidak ada rabbit hole. Jika kalian pernah mengerjakan mesin di HackTheBox, mungkin level dari tantangan di exam sendiri hanya berkisar di level easy-medium saja.
Lalu kenapa banyak yang gagal?
Menurut saya banyak yang gagal di exam ini justru karena menjadi korban glorifikasi orang-orang yang sudah lulus terlebih dahulu. Mereka menjadi takut karena menganggap ujian ini sulit, dan ketakutan itu terbawa hingga waktu ujian.
Atau, kepanikan yang terjadi saat ujian berlangsung. Diatas saya menceritakan bagaimana saya menghabiskan waktu hampir setengah hari untuk menyelesaikan AD sets. Saat saya yakin bahwa initial accessnya berasal dari CMS yang seharusnya bisa di RCE, saya mulai panik ketika exploit yang saya jalankan tidak bekerja. Menghabiskan waktu berjam-jam untuk melakukan encoding backdoor karena berpikir mungkin exploitnya tidak bekerja karena backdoornya terdeteksi antivirus. Setelah berjam-jam tidak ada hasil, saya ijin ke proctor untuk istirahat. Menyalakan rokok, ngopi, lalu terlintas di kepala bahwa mungkin masalahnya bukan di backdoor tapi di listener. Dan benar saja, ketika saya kembali ke meja untuk melanjutkan ujian, mengubah port listener dari 31337 ke 80, netcat di Kali Linux saya mendapatkan koneksi dari target. Dan hal ini sebenarnya bukan hal baru, di PEN-200 pun dibahas.
Intinya, jangan takut dan panik. Ujian ini mudah. Namun jangan meremehkan juga. Pelajari semua yang ada di PEN-200. Dengan mengikuti saran ini, seharusnya kalian bisa mendapatkan kelulusan exam OSCP.
OSCP vs The Competitors
Di Reddit atau Quora, orang banyak membandingkan OSCP dengan PNPT, sertifikasi dari TCM Security. Alasannya karena kedua sertifikasi ini dianggap setara dari segi kesulitan. Namun untuk materi, Practical Ethical Hacking (PEH) dari TCM Security jauh lebih baik jika dibanding PEN-200. Penyampaian materinya lebih terarah. Dan juga, akses ke coursenya life-time. Harganya pun jauh lebih murah kisaran USD 300, untuk akses course, 1x exam PNPT, dan free 1x retake (jika gagal ujian).
Atau dengan harga yang tidak sampai setengah dari harga OSCP, kalian bisa ambil course dan exam PNPT dan CRTP. Materi CRTP dari Altered Security mengulas eksploitasi Active Directory lebih dalam, serta, materinya lifetime, sehingga kalian akan mendapatkan source baru ketika ada update modul. Harganya sama, kisaran di USD 300.
Narasi diatas adalah point of view ketika kita melihat sertifikasi OSCP dibandingkan dengan kompetitor dari sisi materi dan juga environment exam yang diambil.
Namun, disini saya akan beritahu kenyataan pahit mengenai sertifikasi lain yang secara level dianggap setara dengan OSCP. Kenyataannya, HR tidak peduli berapa banyak kalian punya sertifikasi lain selain OSCP, banyak yang tidak akan melirik kalian sebelum kalian lulus ujian OSCP. Mau kalian punya PNPT, CRTP, ECPPT, dan CPTS sekalipun, untuk saat ini HR pasti akan menanyakan "kenapa belum ambil OSCP".
Ya, itu adalah kenyataan pahit yang terjadi saat ini, setidaknya sampai artikel ini dibuat. Ya meskipun harapan saya kedepannya ada sertifikasi lain yang bisa dianggap setara dengan OSCP dari OffSec, ataupun CEH dari EC Council, namun dengan harga yang lebih terjangkau. Jujur saja harga IDR 27.000.000 untuk sebuah sertifikasi itu mahal banget loh...
Update: Saat ini HTB CPTS digadang-gadang bisa menjadi OSCP killer, dikarenakan konten modul dan juga environment exam yang bisa dibilang lebih berbobot, harga yang lebih terjangkau, dan juga dikeluarkan oleh perusahaan yang cukup ternama, Hack The Box. Well, kita lihat perkembangannya seperti apa kedepan.
Is OSCP Worth It?
Oke, sebelum menjawab pertanyaan ini, harus saya tekankan bahwa menurut saya saat ini satu-satunya keunggulan OSCP saat ini adalah reputasinya. Memegang sertifikasi OSCP seperti memegang golden ticket di cyber security. Tawaran pekerjaan lebih banyak, nego gaji lebih mudah, dll. Sebagai gambaran, ketika saya mengumumkan sertifikasi OSCP saya di LinkedIn, langsung banyak tawaran pekerjaan masuk. Sertifikasi ini seperti primadona bagi HR.
Jadi jawabannya, IYA. Bahkan dengan segala kekurangannya, OSCP worth it untuk diambil. Terkesan tsundere mungkin, tapi memang harus diakui bahwa pemegang sertifikasi OSCP banyak dicari oleh HR di industri cyber security. Terutama jika kalian bekerja di vendor. Biasanya salah satu syarat dari client adalah bahwa konsultan ataupun pentester yang mengerjakan project mereka minimal adalah OSCP holder.
Dengan reputasinya, OSCP memang layak untuk diambil. Saya saat ini adalah salah satu pemegang sertifikasi OSCP. Saya sudah merasakan dampak perbedaan ketika saya belum memiliki dan sesudah memiliki OSCP. And now, it's your turn!
Posting Komentar untuk "Review Sertifikasi OSCP"
Posting Komentar
Silahkan tinggalkan komentar jika ada masukan, pertanyaan, kritik ataupun dukungan. Namun pastikan untuk berkomentar secara sopan.