Roadmap OSCP — máquinas curadas
Lista editorial de 30 máquinas ordenadas por dificultad y tipo de vector, pensada para llegar al OSCP con el músculo entrenado. Si dominas estas, el examen no te va a sorprender.🚨 Lo que cambió en noviembre 2024 (OSCP+)
Si estás estudiando con guías antiguas, están desactualizadas. OffSec rebautizó el examen como OSCP+ y reescribió el formato. Resumen del impacto:⚠️ Cambios estructurales — examen post nov-2024
Buffer Overflow eliminado. Active Directory ahora obligatorio
y vale el 40 % del examen. Bonus de 10 puntos por ejercicios eliminado.
El nuevo OSCP+ caduca a los 3 años (los OSCP “antiguos”
siguen siendo vitalicios).
Fuentes: OffSec — OSCP Exam Changes, OffSec — OSCP+ blog, Cyberphinix análisis.
Active Directory: el filtro real del examen actual
El AD set vale 40 puntos, son 3 máquinas encadenadas (10- 10 + 20) y fallar la #1 te bloquea las dos siguientes. La asunción es “assumed compromise” — te dan usuario + password de un usuario estándar y tienes que llegar a Domain Admin.
- Kerberoasting + AS-REP Roasting + password spraying
- BloodHound (query “Shortest Path to DA from Owned” aparece en casi todos los writeups de aprobados)
- Pass-the-Hash / Pass-the-Ticket
- DCSync
- Pivoting con Ligolo-ng / chisel (el AD set obliga a moverse entre subnets — sin esto te quedas en la máquina #1)
- Abuso de ACLs, delegations y GPP cpassword
OSCP vs alternativas modernas (matriz 2026)
Path recomendado si tienes flexibilidad: PNPT primero (barato,
realista) → OSCP (peso de marca) → CRTP (depth AD). El
curso PEN-200 oficial cubre ~30 % de lo necesario según
consenso comunitario — HTB + TJNull list son obligatorios para
aprobar.
Fuentes: HackerDNA OSCP+ guide, Netguardia — OSCP in 2026, TJ Null Prep List.
Errores típicos del candidato 2025-2026 (distintos al examen viejo)
- Pivoting/tunneling deficiente — sin Ligolo-ng/chisel no pasas la #1 del AD.
- Lagunas Kerberos — Kerberoasting / AS-REP / PtH son baseline, no extras.
- Sin BloodHound — no saber qué query lanzar = fallo casi seguro.
- Rabbit-holing — sin bonus 10 pts ya no hay margen.
- Notas pobres — reporte incompleto = puntos perdidos en máquinas comprometidas.
- Saltar al PEN-200 sin fundamentos — gastas el lab time aprendiendo Linux básico.
Antes de empezar: lee la metodología profesional y
ten abierto el glosario táctico. Si al ver una máquina
no sabes qué es un LFI o un Kerberoasting, estás perdiendo el
tiempo con ella. Repasa primero los recursos de
aprendizaje.
⏱️ La regla del cronómetro
El error #1 del candidato OSCP es enamorarse de un vector inútil. Si tras X minutos un vector no produce ninguna señal de progreso, pivota. Vuelves después con más contexto.
Regla del 4×: si has gastado 4× el tiempo objetivo, la
enumeración inicial fue incompleta. Vuelve al paso 1.
🔗 Exploit chaining: el truco del aprobado
Una máquina HTB resuelta con un único vector raras veces vale los 60 puntos del examen. Las máquinas reales del OSCP exigen encadenar 2-3 vulnerabilidades:
Práctica activa: tras resolver una máquina, rebobina el
writeup y dibuja la cadena completa en un diagrama. Si no sabes
diagramarlo, no la has entendido. Detalle completo en
/metodologia#exploit-chaining.
Bloque 1 — Fundamentos (10 máquinas, todas Linux/Windows fáciles)
Vectores básicos: enumeración, buffer overflow estilo escuela, LFI/RFI, SMB.Bloque 2 — Active Directory (10 máquinas)
El OSCP moderno pesa fuerte en AD. Si esto se te atraganta, suspendes.Bloque 3 — Web pesado (5 máquinas)
Los puntos web del examen suelen decidir aprobar o no.Bloque 4 — Linux privesc (5 máquinas)
Sudo, SUID, capabilities, kernel.Cómo usar este roadmap
- No saltes bloques. El bloque 2 (AD) asume que has soltado la mano con Linux y Windows básicos.
- Cronometra. Si una máquina te lleva más de 4h sin pista, léete el writeup correspondiente y pasa a la siguiente. El objetivo es patrones, no orgullo.
- Toma notas. Una máquina aprovechada genera 1-2 páginas de apuntes propios; sin notas, la repaso a las 3 semanas y no me suena.
- Tras cada bloque: re-haz una máquina del bloque anterior sin pistas. Si tropiezas, repítelo.
- Por cada máquina, completa el checklist profesional (no sólo “tengo la flag”):
✅ Checklist por máquina
Una máquina HTB resuelta sin estos 7 puntos = línea en tu CV. Una máquina HTB resuelta con estos 7 puntos = caso real para tu portfolio profesional.- ¿Sé el CVE (si lo tiene) o el CWE del fallo?
- ¿Sé la clasificación CVSS que asignaría?
- ¿Puedo redactar el impacto de negocio en lenguaje no técnico?
- ¿Tengo el bloque de código exacta de remediación?
- ¿Sé qué alertas habría disparado en un SOC real (huella defensiva)?
- ¿Tengo el ID MITRE ATT&CK mapeado para cada técnica usada?
- ¿Documenté qué vectores fallaron y por qué (cementerio de vectores)?
Este roadmap es opinable y editorial. Si crees que falta una
máquina o sobra otra, abre un PR contra
docs/htb/roadmap-oscp.mdx.