resux1338/OSCP-2026-Cheatsheet

# OSCP / OSCP+ 备忘单 [**本仓库的摘要**](https://mystichackers.com/story/Njk) 一份围绕 **2026 OSCP+ 考试**构建的实用渗透测试参考：3 台独立机器（每台 20 分 = 60 分）+ 一组包含 3 台机器的 Active Directory 环境（40 分）—— **70 分及格**。没有缓冲区溢出机器，没有额外加分。 **如何使用本备忘单。** 以下每个文件都代表攻击的一个独立阶段——打开你需要的那个文件，并使用 `Ctrl+F` 搜索关键字（例如像 `445` 这样的端口、像 `kerberoast` 这样的技术，或像 `chisel` 这样的工具）。在考试期间，**请先在本地克隆此仓库**（`git clone`）和/或保留一份离线副本，这样你就不会在 24 小时内依赖网络的稳定性。请记住：在考试或报告阶段**不允许**使用 AI 助手——这是一份离线笔记。 ## 仓库地图 | 阶段 | 文件 | |------|------| | 侦察与枚举 (nmap、按端口、Web) | [01-recon.md](01-recon.md) | | 初始立足点 — shell、文件传输、Web 漏洞利用、公开漏洞利用 | [02-foothold.md](02-foothold.md) | | Linux 提权 | [03-linux-privesc.md](03-linux-privesc.md) | | Windows 提权 | [04-windows-privesc.md](04-windows-privesc.md) | | Active Directory（40 分的集合） | [05-active-directory.md](05-active-directory.md) | | 网络枢纽与隧道 | [06-pivoting.md](06-pivoting.md) | | 密码攻击与破解 | [07-password-attacks.md](07-password-attacks.md) | 策略、考试规则、报告指南和快速参考附录位于本页面的下方。 ## 考试规则与策略（请先阅读） ### 硬性规则（不要违规） - **在考试或报告阶段禁止使用 AI / LLM 聊天机器人。** 此文件是备考用的——你可以离线参考它。包括 KAI。甚至不要打开任何聊天机器人的标签页。 - **Metasploit：仅限一个目标。** 完整的 MSF（exploit/auxiliary/post + 一个 meterpreter）只能用于你选择的一台机器。**不能**用于网络枢纽（因为这会触及 >1 个目标）。`msfvenom`、`searchsploit`、`pattern_create`、`nasm_shell` 不算作“使用 Metasploit”。 - **考试中禁止使用 Responder 毒化/欺骗。** LLMNR/NBT-NS 毒化将不会是通关路径。（Responder 仅允许在 analyze 模式下使用；不要运行 `-w`/毒化。） - **禁止使用自动化漏洞利用工具：SQLMap、SQLNinja、db_autopwn、browser_autopwn，** 以及任何自动发现并利用漏洞的工具。批量扫描器（Nessus、OpenVAS、Nexpose）也被禁止。SQLi 和所有的漏洞利用必须**手动**进行。（单目标工具如 Nikto、dirb、nmap NSE 是允许的。） - **PowerShell Core / PSSession 可作为有效的交互式 shell。** - 所有操作都在受监控的主机上进行。不要在任何地方讨论考试内容（Discord、论坛）——这会立即违反规定。 ### 允许使用的工具（根据 OffSec 规定，非详尽列表） BloodHound (Legacy + CE)、SharpHound、PowerShell Empire、Covenant、PowerView、Rubeus、evil-winrm、Responder（仅限分析模式）、CrackMapExec / NetExec、Mimikatz、Impacket、PrintSpoofer。标准的非 MSF 漏洞利用是可以的。 ### 达到及格分数的方法 你需要 70 分。现实的通关路线： - **AD (40) + 3 个 local.txt (30) = 70** ← 最常见的及格方式 - AD (40) + 2 个 local + 1 个 proof = 70 - AD (20，部分分数) + 所有 3 个独立机器完全攻破 = 70 - AD (10) + 3 个独立机器完全攻破 = 70 **要点：** AD 集合是最大的决定性因素。优先拿下 AD，或者尽早攻克。存在部分得分（在独立机器上：立足点 = 10 分，root = 10 分；在 AD 上：10/10/20）。 ### 时间规划（24小时，不可暂停） 1. **前 20–30 分钟：** 在每个目标上启动 nmap，并在扫描运行时进行截图。 2. **分诊（分类处理）：** 记下速胜的机会（明显的 CVE、匿名 SMB、默认凭证）。 3. **尽早攻克 AD 集合** —— 它占 40 分且需要链式突破；先拿这些分可以降低全天的风险。 4. **独立机器：** 在死磕任何一个提权之前，先拿下每一个立足点（各 10 分）。部分分数是可以叠加的。 5. **轮换。** 硬性规定：如果卡住 1.5–2 小时仍毫无进展，切换目标。换个心情再回来。 6. **在考试窗口结束前 ~2 小时停止黑客攻击。** 验证每一个 flag，重新截取任何缺失的屏幕截图，确认 proof.txt 的内容。 ### Proof 纪律（没有这些你会丢分） - 在**同一个**画面中截图 `local.txt` / `proof.txt` **以及** `whoami` / `id` / `ipconfig` / `hostname`。 - 在 shell 中截图目标的 IP。 - 记录所有内容：使用 `script` 或者仅为每个机器保留一个 markdown 文件，记录每条命令及其输出。 - 截比你认为需要的更多的图。一旦考试窗口关闭，你将无法重新进入。 ### 单机笔记模板（为每个目标复制使用） ``` ## - Ports: Foothold: | cred: | local.txt: Privesc: | proof.txt: Screenshots: [ ] foothold+id [ ] root+id [ ] local.txt [ ] proof.txt ``` ## 考试报告（没有它就没有分数——不要在交付物上失误） - 使用 **官方 OffSec OSCP/OSCP+ 报告模板**（.docx）。下载并离线填写。 - **每台机器一个部分：** 端口/服务 → 立足点（确切的请求/漏洞利用 + URL/CVE）→ `local.txt` 证明 → 提权步骤 → `proof.txt` 证明。 - 每个论断都需要一张**截图，展示命令、其输出以及 `whoami`/`id`/`ipconfig` + 画面中的目标 IP**。 - 逐字写出命令，以便阅卷人能够**复现**每一个步骤。记录你修改过的任何漏洞利用代码。 - **AD 集合：** 逐台主机记录完整的链路——你是如何获得每个凭证以及通往 DC 的每一跳的。 - 工作流程：在考试期间保留每个机器的 markdown 笔记 → 之后粘贴到模板中。（撰写报告也不得使用 AI。） - 导出为**单个 PDF**，在考试窗口关闭后的 **24 小时内**提交至 OffSec 门户。 - 未经证实的 flag / 缺失的截图 = 丢分。**如有疑问，立刻截图。** ## 快速参考附录 ### 常见端口（记住集群组合） ``` 21 FTP | 22 SSH | 23 Telnet | 25 SMTP | 53 DNS | 80/443 HTTP(S) | 88 Kerberos(DC) 110 POP3 | 111 RPC/NFS | 135/139/445 SMB-RPC | 143 IMAP | 161 SNMP(UDP) | 389/636 LDAP 1433 MSSQL | 3306 MySQL | 3389 RDP | 5432 Postgres | 5985/5986 WinRM | 6379 Redis ``` 同时看到 88 + 389 + 445 + 5985 = **Domain Controller**。出现 53+88 也是如此。 ### 决策流程（每个机器） ``` nmap -> /etc/hosts -> per-port enum -> web dirbust -> identify version/CVE/default creds -> FOOTHOLD (web exploit / public exploit / creds) -> stabilize shell -> screenshot local.txt -> linpeas/winpeas + manual -> sudo -l / whoami /priv FIRST -> PRIVESC -> screenshot proof.txt -> document + move on AD: given creds -> bloodhound -> roast/ACL/spray -> lateral (PtH) -> secretsdump -> DCSync -> DA ``` ### 遇到瓶颈时（在切换目标前运行此检查清单） - 重新阅读所有的 nmap 输出 + 每一个脚本行。你扫描 UDP 了吗？所有的 65535 个 TCP 端口都扫了吗？ - 你检查了**每一个** SMB 共享 / Web vhost / 用户 `description` 吗？ - 你在**所有地方**（SSH、SMB、RDP、WinRM、Web、su）尝试过找到的凭证了吗？ - 做了 `sudo -l` / `whoami /priv` 吗？在 GTFOBins/LOLBAS 上查过该二进制文件了吗？ - 在 `ss -tlnp` / `netstat -ano` 中有没有你尚未转发的仅限内部访问的端口？ - 读取了备份/配置/历史文件吗？`.git` 呢？通过 php filter 获取源码了吗？ - 对于 AD：每次获得新凭证后，以该新用户身份重新收集 BloodHound 数据——攻击路径可能会改变。 - 版本对于 searchsploit 来说太冷门了？搜索确切的 `name + version + "exploit"`（缓存的参考）。 ### 稳定 Reverse shell（单行命令回顾） ``` python3 -c 'import pty;pty.spawn("/bin/bash")' ; Ctrl+Z ; stty raw -echo; fg ; export TERM=xterm ``` ### secretsdump / PtH 回顾 ``` impacket-secretsdump 'dom/user:pass@IP' # dump impacket-wmiexec dom/user@IP -hashes :NThash # use the hash evil-winrm -i IP -u user -H NThash ``` ### 考前需要准备的离线参考资料（不允许使用 AI / 网络搜索 AI） HackTricks (book.hacktricks.xyz)、GTFOBins、LOLBAS、PayloadsAllTheThings、revshells.com 备忘单， hashcat 模式表、Impacket/nxc 帮助转储、你自己的单机笔记。预备好二进制文件： linpeas、winPEASany、pspy64、chisel (lin+win)、ligolo (proxy+agent)、PrintSpoofer64、GodPotato、 JuicyPotatoNG、PowerView、SharpHound、mimikatz、PwnKit、bloodyAD (sealed LDAP / ACL 滥用)。 *作为个人备考参考资料编写。来源：通用渗透测试方法论 + 技术知识，并与公开的 OSCP 检查清单（crtvrffnrt/OSCP-Checklist-Cheatsheet2024、BlessedRebuS/OSCP-Pentesting-Cheatsheet、fatalxs/oscp-cheatsheet）以及 HackTricks/GTFOBins/PayloadsAllTheThings 交叉核对了覆盖率缺口，并针对官方 OSCP+ 考试规则（2026）进行了验证。所有命令均为重新编写——非抄袭自任何证书实验室/PG 机器的攻略。在正式考试或报告阶段不允许使用 AI 工具——本文件为离线笔记。* ## 更多资源与致谢 此备忘单为原创笔记，但其覆盖范围已与这些社区参考资料进行了交叉核对——都非常值得直接阅读： - [crtvrffnrt/OSCP-Checklist-Cheatsheet2024](https://github.com/crtvrffnrt/OSCP-Checklist-Cheatsheet2024) — 按阶段划分的检查清单 - [0xsyr0/OSCP](https://github.com/0xsyr0/OSCP) — 大型命令/工具/payload 索引 - [BlessedRebuS/OSCP-Pentesting-Cheatsheet](https://github.com/BlessedRebuS/OSCP-Pentesting-Cheatsheet) — 方法论 + payloads - [HackTricks](https://book.hacktricks.xyz/) · [The Hacker Recipes](https://www.thehacker.recipes/) — 深入的技术参考 - [PayloadsAllTheThings](https://github.com/swisskyrepo/PayloadsAllTheThings) — 针对每种 Web 漏洞的 payloads - [GTFOBins](https://gtfobins.github.io/) · [LOLBAS](https://lolbas-project.github.io/) — living-off-the-land 二进制文件 (Linux / Windows) - [WADComs](https://wadcoms.github.io/) — 交互式 Windows/AD 命令选择器 - [Orange Cyberdefense AD mindmap](https://orange-cyberdefense.github.io/ocd-mindmaps/) — 一页纸的 AD 攻击流程图 - [revshells.com](https://www.revshells.com/) — reverse-shell 生成器（请将其离线缓存） - 官方资料：[OSCP+ 考试指南](https://help.offsec.com/hc/en-us/articles/360040165632-OSCP-Exam-Guide) · [OSCP+ 考试常见问题](https://help.offsec.com/hc/en-us/articles/4412170923924-OSCP-Exam-FAQ)

标签：Active Directory, IP 地址批量处理, Plaso, Web报告查看器, 内网穿透, 备忘单, 提权, 数据展示, 模拟器, 红队, 防御加固