Introducción
Antes de nada quería comentar que esta review la estoy escribiendo semanas después en el blog ya que me examiné recientemente de la certificación de pentest academy CRTP que si apruebo también subiré review al blog.
Contexto
El eCPPTv2 o eLearnSecurity Certified Professional Penetration Tester, es el siguiente paso al eJPT. Lo que es para Offensive Security el OSCP, lo es el eCPPT para eLearnSecurity. Es una certificación 100% práctica orientado en materia de seguridad ofensiva.
El contexto del examen está dividido en las siguientes partes:
- Vulnerabilidades web
- Buffer Overflow
- Escaneo y enumeración
- Fuzzing web
- Metasploit
- Elevación de privilegios
- CVE
- Exposición de información
Teniendo en cuenta el ámbito general en el que se desarrollará el examen vamos a entrar en ámbitos mas precisos dentro de la propia certificación.
¿Tiene relevancia el eCPPTv2 con respecto a empresas?
Desde mi punto de visto creo que esta certificación está siendo cada vez más relevante de cara a una posición de recursos humanos dentro del mundo empresarial. Después de las famosas certificaciones como CEH o el propio OSCP pienso que eLearnSecurity se está posicionando en el mercado como una apuesta bastante notoria con respecto a la calidad de sus certificaciones, que son totalmente prácticas, simulan un entorno real, y por lo tanto se destaca poco a poco con respecto a otras certificaciones que no dejan de ser un examen teórico tipo test y que bajo mi punto de vista en un puesto de pentester no tiene mucho sentido más allá del conocimiento de algunos conceptos.
Dificultad del examen
He de sincerarme en este aspecto y comentarte que he subestimado el examen bastante a nivel de dificultad y que hay un paso “abismal” entre su predecesor el eJPT y el eCPPTv2.
Con respecto a campos como el Buffer Overflow, hay un tutorial que te ayuda bastante a asimilar los conceptos como es el siguiente: https://tryhackme.com/room/bufferoverflowprep
Hay que tener conocimientos básicos de programación como Python, C, etc, para comprender que está ocurriendo por detrás con el Buffer Overflow.
Con respecto a fuzzing web es importante destacar el hecho que aunque una tool no nos dé el resultado esperado no nos centremos en una sola herramienta. A nivel personal utilizo “wfuzz” pero es una mala práctica solo centrarnos en una sola herramienta a nivel de fuzzing web. Por ejemplo si vemos que el servidor está desarrollado en php es bueno ejecutar “dirb -X php” para buscar archivos desarrollados en php que puedan estar alojados en el servidor, etc.
Este es un examen que no busca conseguir unas “flags” sino que está basado en un pentest real simulando una auditoria. Es por ello que nuestro reporte debe ser profesional ya que va a ser la comprobación de que todo lo que hemos hecho está totalmente comentado y evidenciado por medio de capturas de pantalla. Con respecto a la recogida de evidencias a nivel profesional recomiendo la siguiente herramienta para ir tomando capturas de pantalla y que lo utilizo tanto en mi trabajo como en las certificaciones que he obtenido en materia de seguridad ofensiva. Esta herramienta es la siguiente: https://flameshot.org/
Dicho esto, recomendaría controlar bien Buffer overflow, tener un control alto de Metasploit, ser capaz de reconocer posibles malas practicas a nivel de sistema (enumera, busca archivos, binarios con privilegios de root, etc). Try and Try!
Precio
El precio de esta certificación con respecto a otras certificaciones del sector es bastante relevante. Para haceros una idea existe el siguiente roadmap para ver las certificaciones que hay en varias areas de la ciberseguridad (creo que no está actualizado) pero viene bien para hacernos una idea. Existe una posición jerárquica desde las certificaciones más fáciles de obtener hasta las mas TOP de abajo a arriba. El link es el siguiente: https://pauljerimy.com/security-certification-roadmap/
Dicho esto el eCPPTv2 vale 400 euros a fecha de hoy: https://elearnsecurity.com/product/ecpptv2-certification/ que comparado con otras certificaciones del mismo nivel es mucho mas barata y ni mucho menos más fácil de aprobar ni menos técnica.
Recomiendo seguir la cuenta de INE porque se han juntado con la gente de Pentest Academy y a menudo van sacando ofertas. Yo por ejemplo he pagado 750 euros y tengo acceso por un año a todos los videos de pentest academy (de ahi que me haya examinado del CRTP) y acceso a una certificación “gratis” de eLearnsecurity.
¿Cómo es el examen?
El examen está dividido en varias subredes unidas por un túnel IPSec de ahí que la importancia de pivoting sea obligatoria. La idea es ir “saltando” entre activos hasta llegar a la DMZ.
En cuanto a cuanto se puede tardar en hacer el examen, yo pienso que estando un fin de semana al completo, da tiempo suficiente, hablando de la parte práctica. Yo empecé el viernes a las 4 de la tarde y el jueves por la mañana ya tenía todo listo, hay que tener en cuenta que yo trabajo y por las mañanas apenas podia hacer nada, salí con mis amigos también a despejarme, etc. Y ya pues desde el lunes al jueves hice el reporte.
En el apartado del report podemos tirar de la siguiente web donde hay un montón de modelos de pentest: https://pentestreports.com/reports/ o directamente abrir un word en nuevo y hacerlo a mano.
Para el reporte, recuerda tomar capturas de todo procedimiento y comando que ejecutes, yo utilizo Latex y en concreto Typora que es el software cliente ya que a nivel de pegar pantallazos, escribir notas etc viene genial pero también he utilizado mi “cherrytree” personal.
Conclusiones
Como conclusión creo que esta certificación abarca un paso importante entre las certificaciones más orientas a un perfil junior y el “siguiente escalón” en materia de seguridad ofensiva.
Aspectos relevantes que son el día a día de una empresa como es “Active Directory” no se toca nada en esta cert y creo que es un aspecto relevante para cualquier pentest tener una cert con respecto a esto (de ahí que me haya examinado recientemente del CRTP).
Metasploit es tu amigo aunque el amigo S4vitar nos quiera escupir si lee estas líneas pero es cierto que de cara a este examen es una “ayuda”.
Recuerda que a veces la vía mas fácil de explotación y la que aparentemente no es la indicada al final resulta que sí lo es.