今年三月份的時候又再取得了一張滲透測試認證 PNPT (Practical Network Penetration Tester),五天實戰考試時間,兩天報告撰寫,然後約一場線上簡報,全部通過就會拿到認證了。認證到手,當然也不免要來一篇心得分享文。
這篇文章會從 PNPT 的課程特色、準備方法、考試過程與心得做分享,提供給有興趣的朋友做參考。
什麼是 PNPT?一場完整模擬實戰的滲透測試考驗
PNPT(Practical Network Penetration Tester)是由 TCM Security 所推出的實作型滲透測試認證,近幾年資安圈的紅隊與滲透測試認證百花齊放,除了 OSCP、CRTO、CRTP 以外,PNPT也是其中一張知名的是滲透測試認證。
這張認證目前在國內應該還不算知名,大概只有平常有關注滲透、紅隊認證的人員會知道,知名度應該遠比不上 OSCP。但在國際上來說,它的知名度大概僅次於 OSCP、CRTO、CRTP、LPT/CPENT。
TCM Security 在資安圈內口碑也相當好,尤其受到紅隊、藍隊以及想強化實務技巧的安全工程師喜愛。這家公司由業界知名的資安顧問、YouTube 講師 Heath Adams(又名 The Cyber Mentor) 創辦,他本身曾是滲透測試人員,也擁有豐富的紅隊經驗。他創立 TCM 的初衷就是:「讓學習資訊安全變得平易近人,並以實戰為核心出發點,而不是走傳統死背型考試。」
(還有一個值得提的是它們家有一張專注於Mobile APP滲透測試的 PMPA (Practical Mobile Pentest Associate)。應該目前是針對Mobile滲透最有代表性的認證之一,希望之後有機會介紹到。)
PNPT 課程介紹資訊可以從官方資訊頁面查看:
https://certifications.tcm-sec.com/pnpt
PNPT 最大的特色,就是它不是一場「工具操作題」或選擇題,而是一場真正模擬企業網路環境的「滲透測試演練」。
PNPT 認證費用為 499 美元,訂閱後會包含:
- 45+ 小時的課程培訓影片(12 個月訪問期限)
- 1 次考試機會 + 1 次免費重考機會(無限期)
課程內容會包含五個模組:
- Practical Ethical Hacking(簡稱PEH)
- OSINT Fundamentals(公開資訊蒐集)
- Windows Privilege Escalation for Beginners
- Linux Privilege Escalation for Beginners
- External Pentest Playbook(簡稱EPP)
課程內容的品質我覺得相當好,完全是不遜色於 OSCP/PEN-200 的課程(雖然兩者在方向上是有差異)。PNPT 課程內容也會稍微多提及實務滲透或是專案上的注意事項,不僅僅只專注於技術。比較可惜的部分是 PNPT 並沒有自己的實驗室環境,所以課程當中實作練習的部分是使用 TryHackMe 的機器,但內容也是給予足夠詳細的指導跟說明。
備註官方說明:
PNPT 是一項專業級別的考試。我們建議沒有專業駭客經驗的學生在嘗試 PNPT 之前應該先從 PJPT 開始
PNPT 考試形式與內容
PNPT 認證不僅考驗技術,也非常重視溝通與專業報告能力,符合真實工作中的滲透測試流程。
PNPT的考試形式:
- 5 天的考試時間
- 2 天的報告撰寫時間
- 約 15 分鐘的簡報
- 考試期間不會有鏡頭監考
- 考試期間沒有任何工具限制
- 考試不用預約,按下開始按鈕(會跳出視窗要你確認是否要開始),就會開始倒數計時五天了
考試內容:
- 目標為取得 Domain Controller
- 撰寫一份完整的專業滲透測試報告
- 並進行一場報告簡報與答辯(這可能會是很多人最有壓力的一關)
- 考試不會有任何取得 flag 的形式的題目
- 考試不會有任何選擇題
如何準備 PNPT
關於如何準備這件事情,固然還是要提一下。但我自己在一月份的時候已經通過了OSCP+,並且在那之前,我其實也就對於大部分滲透測試的技能與知識都有足夠的掌握了。所以會提一下建議大家的準備方式,可能不是我自己的準備方式。
首先,一定是建議先看完 TCM 自家的課程,也就是:
- Practical Ethical Hacking(PEH)
- OSINT Fundamentals
- Windows Privilege Escalation for Beginners
- Linux Privilege Escalation for Beginners
- External Pentest Playbook(EPP)
我覺得認真看完這些課程,完成裡面的靶機,也會是你在 PNPT 最大的收穫。不要僅僅只專注在於考試這件事情,一個認證的價值不是只有考試跟取得認證,它的培訓內容也是重點。尤其以 PNPT 來說,它的課程提到了許多真實世界的技巧與經驗,都會成為你未來職涯重要的養分。
完成所有課程影片與課程實作後,可以著手開始練習 TryHackMe 或 HackTheBox 的一些靶機,提升自己對於技術跟指令的熟練度。以 PNPT 的考試來說,應該挑選 Easy 等級的靶機就可以,然後更加專注在選擇列舉或是 Real World 的類型,而不是 CTF 類型的機器。
專注於通過考試來說的話,課程可以重點在 PEH、OSINT 以及 External Pentest Playbook,應該就非常足夠了。大部分的評論與心得可能也都會有提到 Windows 和 Linux 權限提升不是通過考試的必要條件。但我仍然推薦大家完成該兩門課程,並且好好了解當中的內容。
實戰練習部分,也可以挑選更多橫向與 AD 的機器,來加強橫向移動與 Active Directory 攻擊手法。TryHackMe 當中也有不少課程可以加深對於 AD 手法的了解與練習。在橫向移動方面,多數的網友鄉民,推薦可以完成 TryHackMe Wreath Room 當中的 Pivoting 內容(許多人都說這個有很大幫助)。
TryHackMe – Wreath:https://tryhackme.com/room/wreath
然後我自己是沒有完成 Wreath,我大概就是看了一下 Wreath Room 的內容,好像都會了。考試前真的有做的準備,就是把課程影片看完,然後整理一下自己的 Kali Linux 考試要用的環境,確認工具都可以正常運作,都開始考試了。
考試實戰體驗:像真實專案一樣地滲透
考試開始後你會取得兩樣東西
- VPN 設定檔
- ROE(Rules of Engagement)交戰守則
VPN 是不用多說了,實戰考試通常都會有 VPN,讓你可以連線到考試環境。這邊要提醒的是,考試啟動後會有一份ROE,你可以當成是滲透測試與紅隊演練時,專案前期所訂下來規則、合約、規格要求、注意事項。請務必一定要詳閱這份ROE,並遵循裡面的內容。
整個考試的節奏非常像真實滲透測試專案。不會有人監控你,也隨時想睡想出門都可以,五天時間可以彈性調整。不會有工具限制,但這點通常不用想得太美好,雖然你要用商業工具去掃描也是可以,但通常不會有甚麼效益的 XD
我總共花費的時間大約可能是 20 ~ 22小時左右,其實跟打 OSCP 打滿的話所花費的時間差不多。但因為分散五天的時間,所以整體來說是輕鬆許多,沒有這麼大的壓力,遇到瓶頸的時間,也會比較有時間好好放鬆可以重整思路。
我第一天大約花費了 4 ~ 5 個小時,前期有嚴重卡關,但在第一天是有成功突破,取得一個初始權限。(第一天也包含我覺得我的機器有遇到問題,有寄信給官方。官方告訴我機器每次 Revert 之後都要重新下載 VPN,後來環境就正常了。)第二天去上班跟春酒開開心心,所以一整天沒有碰考試。
第三天跟第四天,是六日,除了中間跟朋友有約有出門以外。還是花了滿多時間在考試,六日總共約花了 12 小時,有遇到非常大的卡關,那一關可能就卡了有 10 個小時吧,只能不停的列舉、思考、嘗試。後來終於突破,第五天周一的時候花了大概 3 ~ 4 小時,滿順利的取得最後權限。
我曾在 reddit 看到有一則言論我非常喜歡,是關於討論靶機的,雖然找不到連結,也忘了原文,但他的意思大概是:「你必須不停的思考,不停的嘗試列舉。即使你在考題上面沒有前進,但實際上你是一直在往前進的。」
我覺得在考試卡關沒關係,好好整理思路,持續的列舉不同的內容,嘗試不同的方式。儘管你這次考試沒通過好了,也對你來說會有很多的成長的。
考試完成後,隔天大概也是花了 4 ~ 6 小時,完成了一份相當自豪,非常詳細精彩的報告交付出去。後來報告審後通過就是預約線上簡報。線上簡報的預約也是滿方便,而且想快一點的話是想預約隔一天或兩天就可以樣子。線上簡報可以用你交付的PDF報告或是要另外做一份簡報都可以。我自己是採用額外做簡報的方式。
線上簡報的時候,要記得攜帶附照片的身分證件(通常就是護照)。線上會議會透過 Google Meet 進行,以英文方式進行約 15 分鐘的口頭報告與簡單問答。這一段真的很有臨場感,對平常沒做簡報的人會是個壓力,但也是非常寶貴的職場訓練機會。簡報通過之後,很快就會收到來自 TCM 的 PNPT 認證通過通知。
交付報告的部分,官方是會有模板給你參考,但簡報就不會有。我自己交付的那份報告就是從官方的模板去做修改調整的,整體來說是比他的更詳細,內容也更清楚一點。內容至少會包含:
- 風險與風險描述
- 攻擊流程描述
- 攻擊流程畫面截圖
- 影響評估
- 改善建議
這邊也提醒各位,你必須提交一份格式良好的滲透測試報告,內容應該要足夠的詳細,尤其是在截圖的部分,不要遺漏掉一些重要以及關鍵的地方。PNPT是滿認真注重報告的一個認證,不要覺得自己好像把機器都打完了,甚麼都拿到了,就穩了,如果報告或是截圖不夠詳細還是會沒通過的。(可以看看國外心得文,有不少人都是考試有拿下Domain Admin,但是在報告這一關被判Fail的。)
心得與建議
最後分享兩件事情,關於:
- 考試有甚麼提醒與建議
- PNPT 值不值得考?與其他認證相比如何?
建議給未來考生的幾點提醒:
- 考試務必詳閱 ROE 交戰守則
- 考試不會有技術上太困難的技巧,也不是像 CTF 的題目
- 不要只練技巧,也要練流程與筆記習慣
- 最重要的課程是 PEH、OSINT 以及 EPP
- 記得好好吃飯、喝水、睡覺
- 卡關的時候好好休息一下或是散散步
- 列舉、列舉、列舉
- 確保你對 Avtive Directory 有基礎的了解,以及 AD 基本列舉和攻擊的了解
- 掌握 Pivoting 技巧(如同前面所及,建議可以完成 TryHackMe – Wreath)
- 可以稍微看一下國外 PNPT Review 心得文或是 Reddit 討論
PNPT 值不值得考?與其他認證相比如何?
以它所需要的費用、課程內容、考試難易度、認證價值,整體上來說,我認為 PNPT 是一張非常值得投資的證照,不僅提升了技術實力,也重視在「報告撰寫」與「安全顧問思維」上的能力。實際我也非常期望,未來能在越來越多的職缺條件當中看到對於 PNPT 的需求。
PNPT 不只是證明你能 hack,而是證明你能「像顧問一樣思考、像專業人士一樣交付結果」。如果你想找一個結合技術與實務能力的挑戰,我滿推薦 PNPT的。
可能很多人也會有一個疑問。PNPT 難不難?與 OSCP 相比如何?
我先給大家看看 TCM Security 官方的回答
我覺得它提到了一個感覺很像幹話,但卻又是事實的回答。考試難不難?『對於每個人都是不同的』
其實每個認證都是會有一些內容或是方向上的不同,即使都是滲透測試技術實戰認證,也一定會有差異的。所以接下來分享的內容可以做個參考,但絕對不是要比較誰比較好。
在五天的考試體驗下來,我自己是認為,PNPT很難(不然我也不會花到 20 個小時了 XD)。部分原因可能也是因為我有一些預期的心理,因為當初看網路上別人的心得時,有看到有人說他四個小時就考完了,也有人一天就考完了,想說應該是不用太緊張。(不過每個人考題可能也都不同)
現在回頭來看,我是覺得四個小時真的誇張 XD。雖然我的考試中間卡關幾個地方不太順利,但就算全程順利的情況,我覺得我應該也需要 6 ~ 8 小時才有辦法完成。而 PNPT 的難,也不是技術上面的困難或是廣度上的困難,比較像是考驗你的列舉和細心程度居多(但基本滲透測試技術當然還是要掌握的)。
如果來拿和知名的 OSCP 相比較的話,論技術難度,我想 OSCP 肯定還是具有較高的技術門檻。PNPT 則可能是更好的「企業滲透測試入門」,並且它包含了 OSINT 以及 EPP 的內容。如果是兩張都想考,想詢問應該優先選擇哪張的話,我也一定會先推薦 PNPT。第一是因為他的考試範圍比較小,但課程內容涵蓋豐富,也包含讓你了解 Linux 與 Windows 的權限提升,可是考試則不會在這部分給予壓力。也能在 PNPT 先學 Active Directory 滲透,讓 OSCP 內網環節更容易理解。PNPT 價格也是經濟實惠許多 XDDDD
另外也分享一個 PNPT 與 OSCP 比較,還有這類型認證的想法。我自己感覺,如果把滲透測試比喻成「棒球運動」來說,棒球裡面有投球、傳接球、跑壘、打擊各種不同技巧。OSCP 考試有點像是對於每個項目都有門檻要求,考試的時候也是每個項目都會碰到。而 PNPT 的測驗範圍則是可能像是有傳接球跟打擊而已。
如果你是一門新手,OSCP 肯定是難上許多,因為你要學習項目太多了,你一定會覺得太過辛苦困難。但如果你在棒球領域縱橫多年,對於不同項目都有涉略,則對於 OSCP 與 PNPT 兩者的難度差距,就不會有那麼大的感受。OSCP 一部份很大的壓力也是來自於時間壓力,不是考題內容,因為僅有 24 小時且連續不中斷的時間。
延伸一下我的想法,其實許多技術實戰的考試,像是 CRTO、OSWE 之類,雖然可能就不是 PNPT 或 OSCP 為滲透測試。可以想像成,打棒球、打籃球、打網球、打羽球,雖然都是不同運動,但你在每一項目當中訓練時,你都會有一些基礎體能、體力、速度、肢體協調的訓練與成長。所以你曾經在一個項目上有努力過,往其他方向也肯定是會有一點點優勢,也就是累積的技術能力。
最後,祝有在準備 PNPT 的人考試都能順利~
也曬一下我的認證
