OSWEを受験する方へ

本記事の中で私が一番伝えたい内容となっているので、先に述べます。また、OSWEにすでに取り組んでいる方へ書くため、内容は知っている前提とします。

- あくまで試験であることを意識する
OSWEは、Authentication bypassとRCEでポイントが獲得できます。言い方を変えると、RCEはAuthentication bypassができないと到達できないことを意味しています。

よって、RCEのソースコードの解析の際に、上記のことを意識するだけで大幅に見るべきソースコードの量が減ります。

実際に試験時間の大半をAuthentication bypassに費やしました。どちらのマシンもRCEは最初の段階である程度予想ができるものとなっていました。

また、試験である以上、試験範囲のものが出題されます。pdfの資料で説明された脆弱性を発見するためのcheat sheetを作成することを推奨します(検索する文字列、検証用コマンド、文字制限のbypassコマンドなど)。

- 発見手順を明確にする
個人的に、OSWEの試験で一番重要だと思う要素は、脆弱性が存在する関数を特定することだと思います。しかし、pdfではこの要素はあまり言及されていません。pdfで説明されているすべての脆弱性を"なぜ"発見できたのか理解することが重要です。

よって、Authentication bypassとRCEの発見手順(パターン)を明確にしておくことを推奨します。

- pdfを中心に学習する
OSCPの場合、大半の方はラボとVulnhub、HackTheBoxを中心に学習していると思いますが、OSWEの場合pdfを中心に学習することを推奨します。
理由は、Vulnhub、HackTheBoxともにブラックボックスでのペンテストになるからです。

- レポートは試験中に終わらせる
OSCPと違ってソースコードについてのレポートを書く必要があるので、レポートで使用するスクリーンショットを漏れなく取り終えるのは、難しいと思います。

したがって、合格点に到達した時点でレポートを書き始め、確実にスクリーンショットが十分であることを確認したうえで100点を目指すことを推奨します。

- kaliのバックアップを作成する
試験中に仮想マシンが壊れたり、VSCodeが使用できなくなったりする可能性があるため、バックアップの作成を推奨します。

私の場合、試験中にVSCodeを起動するとエラーで強制終了するようになりました...

Who am I?

普段は東京でサイバーインシデントの調査をしています。
また、Webの開発及び脆弱性診断の経験はありません。

OSWE合格までの流れ

OSWE Exam

47時間45分の試験時間のうち、約20時間ですべてのマシンを攻略しました。流れは以下のようになりました。

参考ドキュメント

個人的に参考になったサイトを載せます。
pentesterlab.com
https://www.exploit-db.com/docs/english/45074-file-upload-restrictions-bypass.pdf
www.securityidiots.com
bowneconsultingcontent.com
github.com

感想

OSWEのラボ期間中は、仕事が忙しくあまり時間が取れませんでした(新サービスの技術部門を担当したり...)。しかし、約1ヶ月半で合格することができたので、個人的には満足です。
また、OSCPよりもかなり簡単だと感じました。理由は以下になります。

• 量より質

OSCPは、とにかくパターンを覚えていく感じですが、OSWEで覚えるべきパターンはかなり少ないです。その分一つ一つのパターンが多少難しいですが、少し時間をかければ誰でも理解できる内容となっていました。

• 試験時間が長い

試験時間がOSCPの約2倍となっており、ゆっくりと取り組むことができます。試験に出できた脆弱性は、Labよりも難しかったですが、その分時間があったため問題ではありませんでした。

今年の目標の一つが達成できたため、引き続き気を引き締めて頑張りたいと思います。
ここまで読んでいただきありがとうございました！