Mi experiencia, consejos y recursos para prepárate para el eJPTv2
Previous¡Cómo APROBAR el CBBH al PRIMER intento!NextMi experiencia, consejos y recursos para prepárate para el eCPPTv2
Last updated
Last updated
Muy buenas, soy J4ckie0x17 y hace 1 semana me certifique en la eJPTv2 de eLearning Security, escribo este artículo por que quiero ayudar a cualquiera que quiera enfrentarse a esta certificación poniendo los recursos que he utilizado para prepararme, consejos, dudas y las herramientas que debéis tener muy sobre la mano para aprobar.
Primero de todo, la pregunta de siempre, ¿Vale la pena? Pues yo creo que si, ya que os dará una primera vista de lo que os podéis encontrar en futuras certificaciones ya que normalmente la eJPT es la primera de las certificaciones enfocada en Pentesting. Esta os puede dar una base para perder el miedo para certificaciones como el eCPPTv2, OSCP etc... puesto que no tendrás la típica pregunta de novato de ¿Y que me voy a encontrar? ya que ya lo habremos experimentado.
Y no solo por eso, el examen es muy divertido y te hará crecer como pentester mientras lo estás haciendo ya que aunque sea para novatos si no tienes una buena metodología y vas desordenado no superarás el examen.
Yo empece preparándome para el eJPTv2 con el Penetration Student v1 pero justo me toco que cambiaban al v2 y lo quitaron de plataforma, en el momento que empece no me podía permitir la mensualidad de INE para hacer el curso de preparación entero, así que me he preparando haciendo el path Jr. Penetration Tester de TryHackMe pagando el VIP que son 14$, que es mucho más económico que 39$ mensuales por parte de INE. A parte de hacer el path de tryhackme mientras estudiaba iba haciendo maquinas en las plataformas como TryHackMe, VulnHub,HackMyVm y PG Play. Todas en general gratuitas a excepción de alguna maquina que necesitas el VIP en THM.
También me cogí 1 mes del curso de s4vitar de la plataforma hack4u.io la cuál tiene un curso super completo que te prepara para este examen, yo lo utilice básicamente para coger más fundamentos y sobretodo por la sección de enumeración web, BurpSuite, SQL Injection y XSS, muy recomendable también prepararse para el examen con el curso de hack4u.
A continuación os voy a pasar todos los recursos adicionales con los que he estado preparándome para el examen y las maquinas que hecho.
El path de Junior Pentration Student v2 más caro.
Path Junior Penetration Tester TryHackMe más rentable y como veis se puede aprobar también.
Curso de Introducción al Hacking de S4vitar realice el curso hasta la parte de SQL Injection y XSS.
Entender muy bien Metasploit, os dejo mi propio articulo que creo que os puede servir de ayuda: https://j4ckie0x17.gitbook.io/notes-pentesting/explotacion/metasploit
Tener una metodología correcta puede hacer que apruebas, ya que si trabajas ordenado tienes la mitad del examen hecho, por eso os dejo mi plantilla a la hora de tomar apuntes cuando hice el examen y cuando hago CTF's https://github.com/J4ckie0x17/My-Template-ObsidianPentesting podéis utilizarla o simplemente tomarla como base para la vuestra personal.
Hay que saber utilizar muy bien las siguientes herramientas para poder aprobar el examen.
fping
Nmap
WPScan
CrackMapExec (esta es super importante)
Metasploit
Searchsploit
Hydra
xfreerdp
Muy recomendado que hagáis maquinas de TryHackMe por que en muchas te van haciendo preguntas de ¿Qué puerto esta abierto en esta maquinas?, ¿Qué versión tiene el puerto 80? o ¿Cómo se llama el directorio que has encontrado en el servidor web? etc... Y así os vais acostumbrando a operar ordenado y con preguntas que os obligan a hacer una buena enumeración.
Recomendación personal para las primeras maquinas que hagáis:
Friendly - Plataforma HackMyVM
Lista de todas las maquinas que hice para prepararme para el examen, hay un total de 25.
Estas maquinas se pueden parecer a las maquinas del examen, cabe recalcar que al ser un examen dinámico puede que no te toque lo mismo que a mi, pero sin duda te irán genial para el examen.
Os dejo mi excel entero para por si queréis verlo mejor así: EXCEL
El examen es Browser-based que significa que lo hacemos todo desde un navegador conectado con Guacamole a una maquina que esta en la red de INE, pero aunque sea así el examen fue muy estable y no hay por que preocuparse.
Leer muy bien la carta de compromiso "Letter of Engagement" ya que es la que te explica más o menos como será el examen y a que empresa ficticia estarás atacando, con gráfico de como será la red donde estarás.
No es un CTF así que no te compliques mucho por que el examen es más fácil de lo que parece.
Enumera, enumera y ENUMERA más.
No leas al principio las preguntas del examen ya que te pueden condicionar, simplemente haz lo que sabes y una vez tengas información ve contestando sobre la marcha.
Si te da miedo el Pivoting o el Portforwading, haz tu propio laboratorio practica, practica y practica, así perderás el miedo. Arriba en la sección de recursos para preparate os he dejado 2 artículos que os irán genial.
Aprende muy bien Metasploit porque será tu mayor aliado, ya que el examen no tienes acceso a internet y toda la explotación la tendrás que hacer con Metasploit.
Haced descansos, en mi caso utilice la técnica Pomodoro para ir haciendo descanso y ya os digo que va genial.
Os dejo unas cheat sheets por aquí que os puede resultar de utilidad para la vuestra propia, muy importante que hagáis la vuestra, no dependáis de la de otros.
Espero que os haya ayudado mi artículo y que os sirva a la hora de enfrentaros al examen, cualquier cosa no dudáis en preguntarme por el correo j4ckie0x17@gmail.com o Twitter.
Si no quieres perderte nada sígueme en mis redes, que la siguiente certificación que me prepararé será la eCPPTv2 y se vienen cositas.
