OffSec Web Expert (OSWE) に合格しました。

費用はOSCPの時と同様会社に出してもらいました。

Webが今まで一番触れてきた分野だったので落ちたくないという想いが強かったのですが、なんとか一発で受かってホッとしています。

5月

ゴールデンウィーク明けから、教科書読みを始めました。

本当はゴールデンウィークに進めたかったのですが、会社への申請が遅くなってしまい断念。

その代わりゴールデンウィーク中は『ひぐらしのなく頃に』を一気見できたので満足しています。

7月の3連休で受験するのが一番だと思い、すぐに予約をいれました。

始めの3週間くらいはちまちまと教科書読み（と手を動かして確認）をしていたのですが、途中で謎にやる気がでなくなってしまい、その後3週間くらい全く手を付けていませんでした。

ちなみに、OSCPの時と違って、専用のKali VMを立てたりはしないでWSL2+Windows Terminalでやっていました。Burp Suiteさえ触れれば基本どうにかなるので。

6月

流石にヤバいと思い、6月中盤から再開。

爆速で教科書読みを終わらせて、週末はLabをやっていました。

Extra Milesは時間が無かったのでやっていませんでしたが、骨のある問題も結構ありそうだったので、時間があればやった方が力になると思います。

LabはしっかりPoCまで書いたのですが、これが一番試験で役に立ちました。

リバースシェルやWebサーバーをPython上でやり繰りするのは1から作ると面倒くさいので用意しておくのが吉です。

7月

ギリギリ試験の前週に、Labを3つとも解き終わりました。

試験までは自分の中で理解が怪しい、デシリアライズ系とPrototypePollutionを復習していました。

試験本番

7/12 19:00

炒飯に虫が入っててなんかもう最悪

— あまめ (@amame04) 2024年7月12日

余り大きな声で言うつもりはないですが、買ってきた炒飯に虫が入っており、最悪の食事体験でした。

7/12 23:00

気を取り直して、開始しました。

3連休は結構人気で、この時間からしか取れなかったんですよね。

7/13 3:00

1台目のAuth Bypassができました。 結構複雑だったんですが、事前に用意してたスクリプトが上手く役立ってくれました。

7/13 4:30

1台目のRCEが取れそうで取れず、結局就寝。

7/13 10:30

起床、再開。

いつもは土日なら10時間くらい寝ててもおかしくないんですが、試験中は緊張しているのか、自然と5~6時間で起きてしまいます。

7/13 11:30

2台目のAuth Bypass達成。

こちらは1台目と比べて結構単純でした。

7/13 15:40

1台目のRCE達成。

変な所に引っかかっていただけで、冷静になってみれば簡単に取れました。

ということで開始から約17時間で合格点には到達できました。 OSCPと比較して時間的な余裕があるので、試験中の焦りとかは無かったです。

ただ、2台目のRCEがとても難しく、全然解けませんでした。

7/13 23:24

Chromeがクラッシュして、ウェブカメラや画面の共有ができなくなりました。 とても焦ったのですがFirefoxに変えることで事なきを得ました。

あぁMozilla財団~

7/14 4:00

就寝。

7/14 9:30

起床、2台目のRCEが取れない。

レポート書いても良いかなとは思っていたんですが、2台目のRCEが取れないのが悔しく、なかなか諦められません。

7/14 17:00

RCEも道筋は見えていたのですが、最後の最後が分からず、結局諦めてレポート作成に移ります。

私がラビットホールから抜け出せていないだけで、想定解法は全く違った可能性もありますが……。

7/14 22:45

試験終了。

最後のRCEが取れなかったのが悔しく、レポートやる気があまり出ず……。

単純に解法が複雑でだるかったというのもありますが。

7/15 3:00

就寝。

7/15 12:00

起床。 久しぶりにとてもよく寝れました。だらだらとレポートを書いていきます。

7/15 19:00

レポート提出。

とくに推敲とか面倒くさくてやらなかったです。

終わった後、1人でちょっと飲みながら、新海誠の最高傑作である（異論は認めない）『秒速５センチメートル』を見返していました。やっぱ新海誠の神髄はこれですよね。

酒飲みながら新海誠の最高傑作である秒速5センチメートル見て死んでる

— あまめ (@amame04) 2024年7月15日

7/16 13:00

ポータルに合格表示。

なぜポータルの合格表示はこんなに早いのか……。

7/16 19:25

合格メール受信。

やったー。

まとめ

2カ月くらいで順調に取れたのでよかったです。

個人的にはOSCPよりも簡単でした。ソースコードが読めるのはデカいですね。

実際、合格するのはそれほど難しくないと思います。なんか1個難易度調整ミスってるRCE問がありましたが、これ解きたかったですね～。

なにはともあれ合格出来てよかったです。