Index of content:
Yesterday, 1st of May I passed the eJPT (eLearning Junior Penetration Tester) certification exam and wanted to share my experience with this personal achievement. If you are reading this, you might be considering getting the certificate yourself or doing the course and you’re probably wondering if the certificate or the course is worth it. Like it says in the name, this is a Junior certificate. Experienced people might want to consider going for the advanced version of this course (eCPPTv2).
My knowledge about penetration testing was very limited when I started the course. I only had done one machine on HackTheBox and it was following the write-up and some of the TryHackMe machines. However, I have an extensive IT background for working as a Sysadmin for almost 2 years, which helped quite a lot for this certificate. Always starting for the basics like networking and programming is a good choice before starting with pentesting in general as you will have more knowledge on what are you doing. If you are on the path to taking the OSCP, I would recommend doing the exam and the black boxes with manual exploitation as you will have plenty of time to do so.
The eJPT is the eLearning Junior Penetration Tester certification exam that as the name points is from eLearning. It is 100% practical and will make you get your hands on penetration testing and information security essentials at an entry-level.
The PTS course is from INE, a platform from eLearning to train different areas like CyberSecurity, Data Science, Networking, Cloud and more. The PTS stands for Penetration Testing Student and it’s content is free and very valuable.
The PTS course is 100% free on the INE platform. You only need to sign up with the Starter Pass and you will have access to all the content from the course.
This is inside the CyberSecurity area and on the Learning Path is named Penetration Testing Student. You will notice that it is split in three different courses and all of them are very beginner-friendly:
This part is introductory to some basics, as well as networking and web applications. One of the thing to point that seems obsolete is that the free edition of Burp Suite does no longer include the «spider» feature, so you will have to download an older release or find another way to do what they are teaching you as I personally do not like the idea of installing outdated software on my system.
This segment is giving you fundamentals of programming on Command Line Scripting, Python and C++. This is really useful if you are not familiar with programming and want to take the first step on one of this languages. Also you could skip this part if you are not planning on taking the OSCP.
This last portion of the course is the most important as it will covers the techniques, tools and a professional penetration testing methodology, all step-by-step. At the end, you will have three black boxes to practice, and it seems to me more difficult that the exam itself. It was fun.
Most of the PTS material is presented on slides, but there also training videos. Notice that you can’t download the content and only certain files that are associated with a few slides or videos could be downloaded.
Also, what really makes this course to stand out is that they have labs all over the three parts to reinforce with practice what you are learning.
The labs are guided step-by-step on what you need to achieve on that environment (connected via VPN) through a set of goals. They also give you hints and the solution of the lab, but I would not recommend looking at it until you exhaust all your ideas and searching on how to get to the goal. Once completed, you can see it to determine the differences and other paths to reach the same. You will have all the time on the world so don’t rush it, you will learn more if you do it yourself. Just don’t give up and stay motivated!
The eJPT exam of eLearning is a certification for juniors penetration testers, it costs 200$ and at this time the change on euros is 173,89€.
The exam is a test quiz with some of the questions being multiple choice, you need to answer correctly 15 or more of the 20 specified questions to pass. Once you bought the exam voucher you will have 5 months to take it. The exam duration is 72 hours but it is normally completed between 5 or 6 hours. The note of your exam will be given instantly once you submitted the exam.
The certification itself is a black box penetration test on a corporate network according to a letter of engagement received from a client.
If you messed up some node on the network, you could always reset the lab, so don’t worry and get your hands dirty.
The PTS course teach everything you need to pass this exam, if you want to make the course compatible with doing machines on HTB or THM, that is up to what you decide, although it is a plus.
Also, another thing to point is if you are using automation tools, you will not be required to write one line of code in any language.
Remember that this exam is not looking for any flag, is knowing what you are looking for and search for it on the network/system and not simply getting root/system, although that helps.
This was a motivating journey and I am capable of say that I would recommend this certification as your first if you want to enter the penetration testing field. eLearning has great content and I learn a lot to reach this.
Don’t let you inexperience hold you back. We’re all inexperienced at some point. Just don’t give up and have fun learning!
Happy hacking!
Índice de contenido:
Ayer, 1 de mayo, aprobé el examen de certificación eJPT (eLearning Junior Penetration Tester) y quería compartir mi experiencia en este logro personal. Si estás leyendo esto, puede que estés considerando obtener la certificación o hacer el curso y probablemente te estés preguntando si tanto la certificación como el curso merecen la pena. Como dice el nombre, se trata de una titulación Junior. Las personas con experiencia podrían considerar la posibilidad de realizar la versión avanzada de este curso (eCPPTv2). Hay que tener en cuenta que tanto el curso como la certificación son en inglés, por lo que deberemos saber desenvolvernos bien en este idioma.
Mis conocimientos sobre pentesting eran muy limitados cuando empecé el curso. Sólo había hecho una máquina en HackTheBox y fue siguiendo el write-up y algunas de las máquinas de TryHackMe. Sin embargo, tengo una amplia experiencia en IT por haber trabajado como Sysadmin durante casi 2 años, lo que ayudó bastante. Empezar siempre por lo básico como redes y programación es una buena opción antes de lanzarse con el pentesting en general ya que tendrás más conocimientos sobre lo que estás haciendo. Si estás en el camino de sacar el OSCP, te recomendaría hacer el examen y las cajas negras con explotación manual ya que tendrás mucho tiempo para hacerlo.
El eJPT es el examen de certificación eLearning Junior Penetration Tester que, como su nombre indica, es de eLearning. Es 100% práctico y te hará conocer los fundamentos de las pruebas de penetración y de la seguridad de la información en un nivel básico.
El curso PTS es del INE, una plataforma de eLearning para formar diferentes áreas como Ciberseguridad, Ciencia de Datos, Redes, Cloud y más. El PTS significa Penetration Testing Student y su contenido es gratuito y bastante valioso.
El curso PTS es 100% gratuito en la plataforma del INE. Sólo tienes que registrarte con el Starter Pass y tendrás acceso a todo el contenido del curso. Este se encuentra dentro del área ‘CyberSecurity’ y en la ruta de aprendizaje se llama ‘Penetration Testing Student’ . Verás que está dividido en tres cursos diferentes y todos ellos son muy aptos para principiantes:
Esta parte es introductoria a algunos fundamentos, así como a la parte de redes y aplicaciones web. Una de las cosas a señalar que parece obsoleta es que la edición gratuita de Burp Suite ya no incluye la función «spider», por lo que tendrás que descargar una versión anterior o encontrar otra forma de hacer lo que te enseñan, ya que personalmente no me gusta la idea de instalar software obsoleto en mi sistema.
Este segmento te da los fundamentos de la programación en Command Line Scripting, Python y C++. Esto es realmente útil si no estás familiarizado con la programación y quieres dar el primer paso en uno de estos lenguajes. También puedes omitir esta parte si no estás planeando tomar el OSCP.
Esta última parte del curso es la más importante, ya que cubrirá las técnicas, herramientas y una metodología profesional de pentesting, todo ello paso a paso. Al final, tendrás tres cajas negras para practicar, y me parecieron más difícil que el propio examen en sí. Fue divertido.
La mayor parte del material del PTS se presenta en diapositivas, pero también hay vídeos de formación. Tenga en cuenta que no puede descargar el contenido y que sólo pueden descargarse algunos archivos asociados a algunas diapositivas o vídeos.
Además, lo que realmente hace que este curso destaque es que tienen laboratorios a lo largo de las tres partes para reforzar con la práctica lo que estás aprendiendo.
Los laboratorios están guiados paso a paso sobre lo que tienes que conseguir en ese entorno (conectado vía VPN) a través de una serie de objetivos. También te dan pistas y la solución del laboratorio, pero no recomendaría mirarlo hasta agotar todas tus ideas y búsquedas sobre cómo llegar al objetivo. Una vez completado, puedes verlo para determinar las diferencias y otros caminos para llegar al mismo. Tendrás todo el tiempo del mundo así que no te apresures, aprenderás más si lo haces tú mismo. Eso sí, ¡no te rindas y mantén la motivación!
El examen eJPT de eLearning es una certificación para pentesters juniors, cuesta 200$ y en este momento el cambio en euros es de 173,89€.
El examen es un test de preguntas con algunas de ellas de opción múltiple, y es necesario responder correctamente a 15 o más de las 20 preguntas especificadas para aprobar. Una vez comprado el voucher del examen, tendrás 5 meses para realizarlo. La duración del examen es de 72 horas pero normalmente se realiza entre 5 o 6 horas. La nota de tu examen se te entregará al instante una vez presentado.
La certificación en sí es una prueba de penetración de caja negra en una red corporativa según una carta de compromiso recibida de un cliente.
Si se estropea algún nodo de la red, siempre se puede reiniciar el laboratorio, así que no te preocupes y ponte manos a la obra.
En el curso de PTS se enseña todo lo necesario para aprobar este examen, si se quiere compatibilizar el curso con hacer máquinas en HTB o THM, eso depende de lo que se decida, aunque es un plus.
Además, otra cosa que hay que señalar es que si utiliza herramientas de automatización, no tendrá que escribir ni una línea de código en ningún lenguaje.
Recuerda que este examen no se centra en encontrar flags, es saber lo que te piden y buscarlo en la red y/o sistema y no simplemente conseguir root o system, aunque eso ayuda.
Este fue un viaje motivador y soy capaz de decir que recomendaría esta certificación como la primera si quieres entrar en el campo de las pruebas de penetración. El grupo eLearning tiene un gran contenido y aprendí mucho en el camino.
No dejes que tu inexperiencia te frene. Todos somos inexpertos en algún momento. No te rindas y diviértete aprendiendo.
¡Feliz hacking!
Antoni
29 de noviembre de 2021 at 11:00
Hola! Por que certificacion recomiendas empezar siendo un principIante? Y tambien, estoy llevando en la universidad UN tecnico en Ciberseguridad pero hasta ahora hemos visto solo redes y una INTRODUCCion a la tecnologia, que Me podrias recomendar hacer despues Ya que me quiero dedicar al penetratioN testiNg y no al netwoRking. Saludos 🖖
wh1tedrvg0n
6 de marzo de 2022 at 20:23
Buenas!
Si realmente te quieres sacar una certificación el eJPT está bien para empezar, además de que todo el contenido del curso es gratuito.
Aunque estén más enfocados en redes eso también te dará una base y siempre es bueno aunque no nos mole tanto, siempre hay un poco de lo que no nos gusta en dónde sí lo hay.
Además, tú puedes seguir dándole caña por tu cuenta hasta que den la parte de pentesting! 🙂
RiJaba1
24 de abril de 2022 at 18:41
Hola!
Este año me gustaría sacarme el eJPT y me gustaría preguntarte si el enrutamiento es algo Realmente importante, en ese caso qué método recomiendas para aprenderlo, ya que en los típicos CTF no se suele tocar.
Gracias de antemano.
wh1tedrvg0n
27 de abril de 2022 at 20:18
Hola RiJaba1,
Según he visto han cambiado el formato del examen del EJPT y ahora se llama EJPTv2, no sé exactamente que ha cambiado, por lo que te recomiendo revisarlo por si acaso.
En cuanto a tu pregunta, tener conectividad con otras máquinas de la red es importante para alcanzar la mayor superficie de ataque posible, en el caso del EJPT, el enrutamiento se podía practicar en los laboratorios del PTS, así como en las blackboxes del final. En caso de que no quieras usar el enrutamiento estático (para mi es lo más sencillo, ya que creas rutas estáticas desde tu máquina y ya tendrías conectividad), puedes probar con herramientas como Chisel o probar varios métodos como se ve en esta página: https://nullsweep.com/pivot-cheatsheet-for-pentesters/, pero estos métodos tienes que tener en cuenta que se ejecutarían en la máquina víctima.
En cualquier caso, seguro que bordas el examen!
Dale caña!
Un saludo 🙂
| Play | Cover | Release Label |
Track Title Track Authors |
|---|
l0gan334
14 de mayo de 2022 at 05:12
muy buen articulo mucha calidad por aqui, por cierto dile al tito savi que mañana lo estaremos esperando con muchas ganas y que se le quiere mucho
wh1tedrvg0n
20 de mayo de 2022 at 18:00
Muchas gracias! 🙂