はじめに
2023年5月、eLearnSecurity Junior Penetration Tester V2(2022年夏に改定し、V2に変わりました)を受け、無事合格しました。日本語資料が少ないので、私が受験の際に行ったことをまとめておこうかと思います。
自分のレベルについて
普段はペネトレーションテストを行う部署に所属していますが、まだ新設されたばかりで実務経験はありません。HTBやTHMをやってはきていますが、まだ本格的なペネトレーションテストを行うレベルには至っていないかなと思っています。
試験前に取得していた資格は、安全確保支援士とCompTIA Pentest+の2つです。なので、事前にセキュリティの基礎知識やペネトレーションテストの知識は多少身に付けられていたと感じています。
eJPTv2について
試験のドメインとしては、Assessment Methodologies, Host&Network Pentesting, Web Application Pentesting, Host&Network Auditingの4つが対象です。試験時間は48時間で、35問の問題に回答していくことになります。
試験環境は全てブラウザからアクセスし、用意されたkaliマシンを使います。
勉強方法について
INEが提供するラボをメインに行いました。THMで事前に知っていたことも多かったのですが、月5000円を超えるため元を取ろうと全てしっかり受講しました。ただし、1つのセクションが英語の動画とラボがセットになっているため、英語ができる人でないと時間がかかると思います。(私は英語が全然にできないので苦戦しました。)
あらかじめTHMのComptia Pentest+のコースをやっておけば復習にもなってちょうど良いと思います。(THMの方が安い!)
改定されたため、新しく動画も追加されているようですが、古い動画は字幕が英語のみなので受講される方はその点気をつけてください。
仕事をしつつ、大学にも通っているため、なかなか時間が取れず4か月ほど受講しましたが、時間がしっかり取れる方であれば2か月もかからずに終えることができるボリュームだと思います。
試験の感想
試験の進め方としては以下の通りです。
- 1日目午前:全てのマシンに対してスキャン等列挙を行う。
- 1日目午後:取っ掛かりがあったマシンから順にイニシャルアクセスを取得する。
- 2日目午前:あらかた権限昇格を終える。
- 2日目午後:どうしても分からない問題をメインに解きなおす。
比較的時間に余裕はあったと思います。休憩もしっかり取っており、2日目も夜中まではやらずに終了しています。ただ、マシンの情報はNotionにまとめておき、後から確認できるようにしておきました。これをしていなければ間違いなく無駄に時間を浪費したのではないかと思います。
反省点
WEBとDBの知識経験が圧倒的に足りていませんでした。分からない問題は、ほぼこのドメインです。ある程度情報を集める方法が分かっていても、そこを起点にどう進めていくかが思い描けていないと感じました。INEのトレーニングではあまりWEBに重点を置いていないようだったので、それ以外の部分を重点的にやりましたが、WEBの初期アクセスもDB情報の取得もあったのでもっと事前に勉強しておけば良かったです。
今後について
普段の業務ではADに関するペネトレーションテストの知識が求められているので、OSCPは取っておきたいと思います。ただ、1年コースはやはり高いのでしばらくはHTB AcademyでADとWEBの勉強をしていこうかなと考えています。
参考にした記事
こちらの記事を参考に受験しました。日本語の記事は全然ないので大変助かりました。