根據 Offensive Security 官方最新考試政策（2025 年 7 月），OSCP 考試期間禁止或嚴格限制以下工具與行為：

---

一、絕對禁止使用的工具/服務

類別	舉例	說明
商業/付費版本	Metasploit Pro、Burp Suite Pro、Cobalt Strike、Canvas、Core Impact、SAINT 等	任何帶 Pro、Premium、Enterprise 字樣的版本均不可使用。
自動化漏洞利用	SQLmap、SQLninja、db_autopwn、browser_autopwn、中國菜刀、蟻劍等全自動 GetShell 工具	只要工具可“一鍵完成利用”即算違規。
大規模漏洞掃描器	Nessus、OpenVAS、NeXpose、Rapid7 InsightVM 等	自動化批量掃描/驗證漏洞的工具一律禁止。
欺騙 & 流量操控	IP、ARP、DNS、NBNS、DHCP 欺騙，ICMP 重定向 等	任何網絡層欺騙與中間人手段均被禁止。
AI 輔助	ChatGPT、OffSec KAI、YouChat、Bard 等任何 AI 聊天機器人	一經發現直接判 0 分并可能終身禁考。
通訊與協作	微信、QQ、Slack、Discord、TeamViewer、遠程協助、手機/平板/第二臺電腦	考試期間只能使用一臺筆記本，且不得與外界通訊。

---

二、有限制地允許使用（需遵守規則）

工具	限制要點
Metasploit Framework	只能對一臺獨立靶機使用（無論成功或失敗）；禁止用于 AD 域環境；Meterpreter payload 與 exploit/multi/handler 共用一次額度。
Burp Suite	僅可使用?Free/Community?版；禁止用 Intruder 的“自動攻擊”模式，只允許手動 Repeater/Decoder 等。
自定義腳本	可用 Python/Bash/Perl 等自寫腳本，但不得實現全自動化利用；須能展示人工分析過程。
信息收集工具	Nmap（含 NSE）、Nikto、Gobuster、Dirb、whatweb、curl、wget、tcpdump、Wireshark 等均可正常使用。

---

三、官方紅線原則

1. 功能原則：任何與上述禁止工具功能類似的軟件，無論名稱如何，均視為違規。

2. “一次判負”原則：監考員不會事先警告；一旦判定違規，成績直接作廢，且可能終身禁考。

3. 舉證責任在考生：考生需自行確認所用工具的合規性，官方不會逐一解釋。

---

備考建議

• 考試前務必通讀官方最新 Exam Guide。

• 練習時養成“手動枚舉+手寫腳本”習慣，避免依賴自動化。

• 考前在 OffSec 官方 Discord 的 #oscp-exam 頻道確認任何存疑工具。