Click a button, start the mission, a brand new vision
Hackthebox CJCA, 黎考我個 precision
官方話 for entry-level, I thought it was simple
點知臨門一腳, stumble then I cripple
第一次 exam, 玩 keyboard 玩到飛起
以爲自己好犀利, you know, technically
Submit 份 report, 60 頁 PDF, feeling good
點知一封 email, completely misunderstood

佢話 Hey manesec, a little bit more to go
SIEM 嗰 part, 你分數唔夠喎 bro
False Positive, True Positive, 你好似 get 錯 a little
份報告嘅水準, is not professional, not in the middle
Damn, 我以爲 check 吓 alert 喺 ELK 就 a-OK
原來要識別, no time to play
失敗的教訓, I got it, lesson learned the hard way
Red team part is cool, but the blue team made me pay

紅與藍嘅 game, 喺日誌中 search for the fame
差一步, just one step away from the name
Every single detail, 喺 ELK 裡面 find the trail
呢個失敗嘅教訓, this is not a fairytale
The devil is in the details, you better see it through
Yeah, this is the challenge, for me and for you

Alright, second round, 唔會再咁 stupid
14 日要 resurrect, got my mindset rebooted
題目讀咗十幾遍, every single word, I mean it
Understand the true meaning, 每個 detail 都要 feel it
灰盒測試, not black box, 唔再傻嗨嗨
ELK is my best friend, 搵出 hacker 嘅路
邊個 IP 係 attacker, 邊個係 admin, gotta know
時間線係證據, make the attack chain show
60 頁變 111, you know how hard I tried, man
Every command, every screenshot, that was the game plan
做個網路神探, 唔係齋 an attacker
要有憑有據, to be a real cyber tracker
過左兩個星期，終於 pass 咗, that confirmation mail on my screen

(Congratulations, that's the best damn thing I've seen)

紅與藍嘅 test, put my skills to the best
終於 get 嗰張 cert, no more stress
It's all about the report, professional and on point
證明我嘅 effort, join the final checkpoint
This journey wasn't easy, but it made me strong
Now I know exactly where I belong.

So you wanna take the test? Let me give you some advice
Don't underestimate it, read everything twice
有人話 CPTS is harder, but this one's unique
考你嘅細心, not just your technique
記錄低 every finding, even if you find nothing
證明你 a professional, that's the most important thing
唔好 email a question about the exam, that's the final rule
Or you'll be on the blacklist, don't be a fool
越簡單嘅考試, 其實越難, focus on the details
It's a test of patience, and how you.

A certified junior... finally...
You got this...
Good Luck...

注意 (Warning)

If you are taking the CJCA exam please close this page as it may make you more anxious.

如果你正在參加 CJCA 的考試請關閉這個頁面，因爲它可能會讓你更加的焦慮。

This review does not contain the answers to the exam, nor does it involve any test points. It only expresses personal thoughts, and all the content can be found on the internet.

本篇 Review 并沒有考試的答案，也不涉及考點，只講個人的感想，所有的内容都可以在互聯網上找到。

我該如何準備？

老實説做完路徑后，學一下ELK的語法就可以上手了，考試並不會太難，但是報告是抽象的。

個人感受

官方説這是給想給入門網絡安全的人準備的。

裡面的內容並不複雜，考試需要考紅和藍，紅的地方是要灰盒測試，藍的地方是ELK和審查。

ELK上的日誌是之前駭客入侵的時候留下的痕跡，作爲你，就需要在ELK中尋找黑客入侵的記錄，并且還原整個攻擊鏈。然後分析，復現，寫報告。

正因為這樣，才會叫灰盒測試，體感更像是現實中的 SOC 運營。

失敗の教訓

第一次的時候沒注意看題目，我以爲是給我40題，看一下報警是不是出現在 ELK 中，而不是去看 True Positive 或者是 False Positive，然後就失敗了：

嘿 manesec 老兄，

我們很遺憾地通知您，您在 HTB 認證初級網路安全專員 (CJCA) 考試中... 嗯，就差那麼臨門一腳了。雖然你在實作部分敲鍵盤敲得飛起，分數也夠了，但我們收到的那份報告... 老實說，水準還得再加強啊。麻煩請在 14 天的「復活」時間內，把你的報告好好「升級」一下再重新上傳。

你在「SIEM 警報驗證與分析」這個大魔王關卡，沒有達到 70% 的及格分數。拜託去複習一下 SIEM 相關的模組，確保你真的懂那些偵測和分析技術在搞什麼鬼。這裡有幾個錦囊妙計，也許能幫你在下次挑戰前，把你的 SIEM 技能點滿：

務必好好地使用 Elastic 這個神器，並搞懂你能從裡面挖出什麼寶貴資訊。下面這些武功秘笈涵蓋了相關主題：

• 網路流量分析入門 (Intro to Network Traffic Analysis)
• 事件處理 SOP (Incident Handling Process)
• Windows 事件日誌 & 抓鬼特攻隊 (Windows Event Logs & Finding Evil)
• 安全監控 & SIEM 基礎中的基礎 (Security Monitoring & SIEM Fundamentals)
• 威脅獵捕概論 & 如何用 Elastic 當個好獵人 (Introduction to Threat Hunting & Hunting with Elastic)
• 網路基礎功 (Network Foundations)

只要你提交的報告有採納我們上面這些「愛的建言」，達到我們要求的水平，你應該就能順利通過考試，拿到那張帥氣的 CJCA 證書啦。

祝你武運昌隆， 誠摯敬上

第二次考試就讀了十幾遍的題目，重新考，把細節描述得非常非常非常的清楚，

從一開始上交失敗的60頁PDF：

變成了111頁PDF：

你知道我有多努力的想要通過這考試了吧。

然後就得到：

嘿 manesec 老兄，

這次總算沒讓我們失望！熱烈恭賀您成功通過 HTB 認證初級網路安全專員 (CJCA) 考試！您現在是官方認證的 CJCA 持有者啦。快去 LinkedIn 或其他地方大肆炫耀一番吧，這可是你應得的！能啃完「初級網路安全分析師」職位路線圖裡所有的內容，還在 CJCA 考試中拿到 80 分，這可不是什麼小菜一碟啊！

我們拜讀了你的報告，寫得相當到位。每個項目的描述和影響分析都抓得很好。你給出的建議也都很實用，同時又保持了我們身為測試人員（基本上就是個第三方監察員）該有的獨立客觀，非常棒。

不過呢，人總是要求進步的嘛。這裡有幾個建設性的回饋，可以讓你的技能樹點得更漂亮：

• 最好幫你的指令輸出和 shell 輸出加上一些描述性的標題，這樣技術人員在看報告時（甚至可能拿它當作重現和測試修復的指南）才能一目了然，不會看到眼花撩亂。
• 如果情況允許，多貼幾張截圖或指令輸出會更好，確保任何讀報告的人都能照著你的步驟重現。雖然用特定工具很酷，但如果能順便附上一個開發人員可能比較熟的替代工具，那就更貼心了。這不是硬性規定啦，得看客戶是誰。
• 就算你在某些主機上啥也沒找到，記錄下你的發現和你採取的行動還是至關重要的。這能讓客戶明白你到底測了哪些漏洞，也證明了你有多麼龜毛... 呃，我是說「鉅細靡遺」。此外，這也能讓客戶放心，知道被測試的環境在面對這些攻擊時，還算是相當安全的。
• 請確保你提供的修復建議是準確的，並且真的能對症下藥，畢竟這才是滲透測試的終極目標。你的建議應該是針對發現的特定漏洞和那個 Web 應用程式量身打造的，而不是那種放諸四海皆準的通用型萬靈丹。

如果你想學習如何寫出更 Pro 的報告，我們推薦你參考一下「文件與報告撰寫」(Documentation & Reporting) 模組。你也可以用 SysReptor 的 Hack The Box Academy 範本，來幫你的報告架構得更專業有型。

總而言之，你的報告非常出色，呈現方式精準、整潔又專業，上面那些只是我們的一些雞婆建議啦。

再次恭喜你，幹得漂亮！快去炫耀你辛苦得來的那張證書吧！

謝謝你

考試感想

考試分兩部分，第一部分是紅隊，第二部分是藍隊。

考試最多考五天，裡面有五臺機器 + 一臺 ELK。

考試一共100 分，合格需要 80 分。

考試我沒有考滿分，剛好合格就收手，另一個原因也是因爲懶。

建議使用 SysReptor 并且參考一下報告的例子。

紅隊部分

一臺機器 20 分，需要灰盒測試從 user 和 root，這兩個各 10 分。

五臺機器裏面至少要拿到3臺機器的root 加上 （一臺機器的root 或者 兩臺機器的user） 才算合格。

由於ELK上面有之前駭客入侵的時候留下的痕跡，所以可以在ELK上找到攻擊的向量，而不必像我一樣傻乎乎的在那裏玩黑盒測試。

藍隊部分

第二部分老實説有點坑，一旦你誤會了題目的意思那麽你就會GG。

這部分給你大概40道題目，意思是公司裏面產生了大約40條警告，問你警報是真實的還是誤報。

大概40條警告裏面你需要答對 70%，才會通過考試。

「這位分析師呢，得像個網路神探一樣，仔細審查客戶家 Elastic SIEM 平台發出的所有『警報』📢。這些警報都是在受控的演習場（就像一個給駭客和資安系統切磋武藝的沙盤）模擬攻擊後產生的。

他 / 她將把這些評估結果，統統塞進一個叫做『SIEM 警報驗證與分析』的專屬表格裡（名字聽起來就很厲害吧！）。每條警報都會被貼上一個標籤：

• 真陽性 (True Positive) ：恭喜你，警報是真的！這貨確實是壞蛋活動（或至少是個基於日誌分析的正牌威脅）—— 簡直是 SIEM 的高光時刻！✨
• 假陽性 (False Positive) ：哎呀，虛驚一場！這只是個良民活動，卻被誤認為是壞事。可能是偵測規則太敏感（像個一驚一乍的鄰居）🚨，或是正常的管理 / 系統操作被誤會了。

總之，所有的分類都得有憑有據，證據就藏在 SIEM 的日誌裡。分析師得把日誌翻個底朝天，找出『誰是兇手』或『誰被冤枉了』的鐵證！💪」

誤報有很多種，根據考試的要求是：

也就是說管理員操作產生的日志視爲正常的請求之一，所以是誤報。

咋看起來很像是廢話，但是考試的時候多看看我上面這句話你就會明白了。

所以這 40 道題目其實就是選擇題，全部都是問警報有沒有被誤報，大概長這樣：

就算是沒有誤報也要填寫為什麼，所以建議寫一下原因。

一些比較有用の考試技巧

• 做紅隊部分的時候，先看ELK的日志。比如你拿到一臺機器知道了 Hostname 了之後，就去ELK看一下user的攻擊路徑是什麽。
• 藍隊的部分，先看一下某個運行命令的時間綫，然後嘗試推測是不是來自攻擊者的IP，然後看看時間綫，猜一下在不在的攻擊時間綫裏面，然後你就有答案了。
• 個人感覺最好的方法是邊做第二部分然後邊做第一部分，這樣會更加高效，但是并不是每個人都適用，所以就當作建議了。
• 藍隊的部分并不是叫你看一下告警在不在系統中，而是你要分析這是正常行爲還是非正常行爲。
• 多使用 ELK，這是灰盒測試不是黑盒測試，不然你就會浪費大量的時間。
• 這些機器都是獨立的，沒有關聯，所以不會出現沒有完成某臺機器而沒辦法完成另一台的事情。
• 多讀幾遍題目和思考題目問些什麽啊，不然會GG。

如何才可以知道有多少人通過了考試？

如果按照數字最小的話，我應該是第 29 個獲得 CJCA 的徽章，也就是第 29 個完成 CJCA 的考試。

點擊這裏可以查看有多少人通過了考試。

點擊這裏可以查看有多少人完成了路徑。

連接裏面的 Users earned this badge 就是完成的人數。

所以完成了路徑還沒有參加考試的人 = 完成路徑的人數 - 通過考試的人數。

官方DC上的一些精彩内容

今天我總算收到了 CJCA 的審核結果，果不其然，我又壯烈犧牲了。老實說，他們給的回饋意見，我感覺跟我的報告根本活在兩個平行時空。更扯的是，那個「14 天後可免費重考」的通知，連改都沒改就直接複製貼上，哈囉？這是我第二次考欸，哪來的 14 天重考福利啦！

基本上，他們千叮嚀萬交代，叫我要用 Sysreptor 的報告模板（我用了啊，不然咧？），還叫我回去把「文件與報告模組」的章節給我重念一百遍。拜託，我可是手握 4 張 HTB 證照外加一張 OSCP 的男人欸，你現在才來教我怎麼寫報告？

喔對了，他們還說我藍隊那關的分數沒過。第一次不過的時候，我覺得有點怪，但還算可以接受啦，可能是我學藝不精。但連續兩次都這樣搞就太過分了喔！那些事件的來龍去脈明明就一清二楚，比八點檔連續劇還好懂。

我真心求問，究竟是哪路神仙在擋我的路，不讓我過關啊？我考這張證照又不是為了我自己爽，是想幫我的學生們探探路，看這東西到底值不值得推薦。

這價格是蠻甜的沒錯啦，但這個鬼打牆又殘暴無情的審核方式，我感覺我的學生們來考，陣亡率可能會比去考 CPTS 或 CWES 這種所謂的「基礎」考試還要高上好幾倍。

所以說，有沒有哪位好心人能（當然是私訊偷偷）指點迷津一下，我的報告到底是哪裡得罪了審核員？因為此時此刻，我真心覺得我那 100 塊美金的投資報酬率，大概比把錢丟到許願池還低。

老實説我也有點感同身受，如果這麽簡單的考試都失敗了，那麽一些不太自信的學生就沒有信心去考CPTS了。

官方說CPTS是比CJCA還要困難，那麽一旦失敗了，可能好幾個學生就失去了考網安的信心。

而且我也懂 Examiner's Feedback 不可以直接告訴你哪裏錯了，但是說幾句含糊之類的客套話也只能是這樣了。

CJCA 和 PT1 比較如何？ CPTS 呢？

CJCA有紅和藍，但是紅是灰盒測試。

PT1是純紅，也就是灰盒。

CPTS 和 PT1 的考試方法一樣，但是比PT1難。

如果你手頭比較緊就去考CPTS吧，個方便都性能都不錯。

最後

果然越簡單的考試越難啊，針對的都是一些細節。

對了，因爲這張證書的難度並不大，你要是覺得自己不是新手真的可以跳過 CJCA。

如果你有一定的滲透經驗的話，我的觀感是非常不建議入手。

最後儘力的做一個：

如果你對 CJCA 有什麽想法，或者是迷茫的地方，可以直接發 email 給我，但請不要 email 我關於 CJCA 的考試問題，因爲我會直接永久黑名單 (However, please do not email me about CAPE exam questions, as I will simply blacklist you permanently) 。

Good Luck ~