Saltar al contenido principal

Roadmap OSCP — máquinas curadas

Lista editorial de 30 máquinas ordenadas por dificultad y tipo de vector, pensada para llegar al OSCP con el músculo entrenado. Si dominas estas, el examen no te va a sorprender.
La OSCP no se aprueba con la teoría: se aprueba con horas de máquina. Esta lista es complementaria al PWK; no lo sustituye.

🚨 Lo que cambió en noviembre 2024 (OSCP+)

Si estás estudiando con guías antiguas, están desactualizadas. OffSec rebautizó el examen como OSCP+ y reescribió el formato. Resumen del impacto:
⚠️ Cambios estructurales — examen post nov-2024
Buffer Overflow eliminado. Active Directory ahora obligatorio y vale el 40 % del examen. Bonus de 10 puntos por ejercicios eliminado. El nuevo OSCP+ caduca a los 3 años (los OSCP “antiguos” siguen siendo vitalicios).
Fuentes: OffSec — OSCP Exam Changes, OffSec — OSCP+ blog, Cyberphinix análisis.

Active Directory: el filtro real del examen actual

El AD set vale 40 puntos, son 3 máquinas encadenadas (10
  • 10 + 20) y fallar la #1 te bloquea las dos siguientes. La asunción es “assumed compromise” — te dan usuario + password de un usuario estándar y tienes que llegar a Domain Admin.
Técnicas baseline (no opcionales):
  • Kerberoasting + AS-REP Roasting + password spraying
  • BloodHound (query “Shortest Path to DA from Owned” aparece en casi todos los writeups de aprobados)
  • Pass-the-Hash / Pass-the-Ticket
  • DCSync
  • Pivoting con Ligolo-ng / chisel (el AD set obliga a moverse entre subnets — sin esto te quedas en la máquina #1)
  • Abuso de ACLs, delegations y GPP cpassword
Detalle por técnica con comandos: ver /glosario#active-directory—kerberos—ntlm y /ad-cs (ESC1 aparece recurrentemente como vector de privesc en AD set).

OSCP vs alternativas modernas (matriz 2026)

Path recomendado si tienes flexibilidad: PNPT primero (barato, realista) → OSCP (peso de marca) → CRTP (depth AD). El curso PEN-200 oficial cubre ~30 % de lo necesario según consenso comunitario — HTB + TJNull list son obligatorios para aprobar. Fuentes: HackerDNA OSCP+ guide, Netguardia — OSCP in 2026, TJ Null Prep List.

Errores típicos del candidato 2025-2026 (distintos al examen viejo)

  1. Pivoting/tunneling deficiente — sin Ligolo-ng/chisel no pasas la #1 del AD.
  2. Lagunas Kerberos — Kerberoasting / AS-REP / PtH son baseline, no extras.
  3. Sin BloodHound — no saber qué query lanzar = fallo casi seguro.
  4. Rabbit-holing — sin bonus 10 pts ya no hay margen.
  5. Notas pobres — reporte incompleto = puntos perdidos en máquinas comprometidas.
  6. Saltar al PEN-200 sin fundamentos — gastas el lab time aprendiendo Linux básico.
Antes de empezar: lee la metodología profesional y ten abierto el glosario táctico. Si al ver una máquina no sabes qué es un LFI o un Kerberoasting, estás perdiendo el tiempo con ella. Repasa primero los recursos de aprendizaje.

⏱️ La regla del cronómetro

El error #1 del candidato OSCP es enamorarse de un vector inútil. Si tras X minutos un vector no produce ninguna señal de progreso, pivota. Vuelves después con más contexto. Regla del 4×: si has gastado 4× el tiempo objetivo, la enumeración inicial fue incompleta. Vuelve al paso 1.

🔗 Exploit chaining: el truco del aprobado

Una máquina HTB resuelta con un único vector raras veces vale los 60 puntos del examen. Las máquinas reales del OSCP exigen encadenar 2-3 vulnerabilidades: Práctica activa: tras resolver una máquina, rebobina el writeup y dibuja la cadena completa en un diagrama. Si no sabes diagramarlo, no la has entendido. Detalle completo en /metodologia#exploit-chaining.

Bloque 1 — Fundamentos (10 máquinas, todas Linux/Windows fáciles)

Vectores básicos: enumeración, buffer overflow estilo escuela, LFI/RFI, SMB.

Bloque 2 — Active Directory (10 máquinas)

El OSCP moderno pesa fuerte en AD. Si esto se te atraganta, suspendes.

Bloque 3 — Web pesado (5 máquinas)

Los puntos web del examen suelen decidir aprobar o no.

Bloque 4 — Linux privesc (5 máquinas)

Sudo, SUID, capabilities, kernel.

Cómo usar este roadmap

  1. No saltes bloques. El bloque 2 (AD) asume que has soltado la mano con Linux y Windows básicos.
  2. Cronometra. Si una máquina te lleva más de 4h sin pista, léete el writeup correspondiente y pasa a la siguiente. El objetivo es patrones, no orgullo.
  3. Toma notas. Una máquina aprovechada genera 1-2 páginas de apuntes propios; sin notas, la repaso a las 3 semanas y no me suena.
  4. Tras cada bloque: re-haz una máquina del bloque anterior sin pistas. Si tropiezas, repítelo.
  5. Por cada máquina, completa el checklist profesional (no sólo “tengo la flag”):

✅ Checklist por máquina

Una máquina HTB resuelta sin estos 7 puntos = línea en tu CV. Una máquina HTB resuelta con estos 7 puntos = caso real para tu portfolio profesional.
  • ¿Sé el CVE (si lo tiene) o el CWE del fallo?
  • ¿Sé la clasificación CVSS que asignaría?
  • ¿Puedo redactar el impacto de negocio en lenguaje no técnico?
  • ¿Tengo el bloque de código exacta de remediación?
  • ¿Sé qué alertas habría disparado en un SOC real (huella defensiva)?
  • ¿Tengo el ID MITRE ATT&CK mapeado para cada técnica usada?
  • ¿Documenté qué vectores fallaron y por qué (cementerio de vectores)?
Plantilla para los 7 puntos: /plantilla-informe.
Este roadmap es opinable y editorial. Si crees que falta una máquina o sobra otra, abre un PR contra docs/htb/roadmap-oscp.mdx.