July 14, 2026
DCPT em 2026: a minha experiência
Reprovei duas vezes antes de entender o que realmente estava errando.

By Murilo V. N. Mazzilli
10 min read
Essa foi minha terceira vez tentando a DCPT. Da primeira vez, reprovei. Da segunda, também. Na terceira, comecei às 8h da manhã e só desliguei o PC às 4h da manhã seguinte depois de passar mais de cinco horas travado em uma única máquina, me perguntando se o padrão ia se repetir. Dessa vez foi diferente.
Antes de começar
Essa é minha jornada até a certificação DCPT (Desec Certified Penetration Tester), hoje uma referência nacional em certificações de segurança ofensiva. A ideia aqui não é entrar em detalhes e "dissecar" o ecossistema da DESEC. Já existem referências muito boas nesse sentido. Minha proposta é contar a minha experiência durante esse período e tentar ajudar outras pessoas que podem estar em uma situação parecida.
Rapidamente, sobre a prova
Antes de agendar a prova, é necessário completar os 10 laboratórios do Pentest Experience v2, que simulam ambientes e situações reais de um pentest. Só depois disso o site libera o agendamento do exame e, já adianto, a agenda costuma fechar rápido. A prova em si tem 48 horas de duração: 24 horas práticas, onde você precisa comprometer as máquinas do ambiente, e mais 24 horas para produzir o relatório técnico.
As duas primeiras reprovações
As duas reprovações vieram, essencialmente, por falta de metodologia. Questões psicológicas também tiveram seu peso, mas o problema raiz não era este. É muito comum estarmos acostumados com ambientes de CTF onde o vetor de ataque é claro e, logo ao ser identificado, nos aprofundamos até chegarmos ao RCE. No exame da DCPT, não é bem por aí. Entrar no exame com a mentalidade de CTF, imaginando que vai encontrar logo de cara um arquivo "suspeito"/sugestivo ou uma versão explorável com exploits conhecidos é um erro. Pode ser que até encontre, mas não acaba por aí. A falta de metodologia afeta diretamente o resultado não só de um exame, mas de qualquer pentest real, onde deixar de testar um vetor pode significar deixar uma vulnerabilidade real sem ser reportada. Foi o que aconteceu comigo nas duas primeiras tentativas: achava um caminho mas sempre faltava alguma coisa. Esse "alguma coisa" me travava de avançar na máquina alvo. E tenho que reconhecer que alguns gaps de conhecimento também ficaram mais claros ao serem postos à prova.
O que mudou entre a 2ª e a 3ª tentativa
Depois de quebrar a cara duas vezes de formas muito parecidas e já com um gostinho de como é a prova, melhorei minha metodologia de enumeração e deixei de lado o pensamento de CTF. Se no meu dia a dia faço todo o processo corretamente, independentemente de qualquer coisa, por que no exame eu subestimaria isso? Montei uma estrutura que deveria seguir à risca: portas de serviço como NFS, SMB, FTP, etc. são minha prioridade por serem mais fáceis de esgotar as possibilidades e, por último, portas HTTP (web) que dão mais trabalho. Outros pontos também foram aprimorados, mas notei que a sede pra encontrar logo o vetor inicial me prejudicava bastante. Também notei que, em certos momentos, eu agia no piloto automático e perdia a intenção. Então, pensando nisso, tentei me manter sempre atento ao que estou fazendo e com o porquê em mente (a tal da intenção). Após todas as reflexões, executei novamente os laboratórios do Pentest Experience v2 para praticar. Mesmo já sabendo a resolução de todos eles, segui a metodologia que estabeleci. Não só isso, em alguns laboratórios busquei referências e formas diferentes de explorar as falhas. Muitas vezes o que funciona em um ambiente, pode não funcionar em outro. Aproveitando esse processo de refazer os laboratórios, também treinei a escrita do relatório com o layout fornecido pela DESEC. Fiz alguns ajustes na estrutura proposta, mas a base ficou a mesma. No servidor do Discord da DESEC existem salas específicas para tirar dúvidas e pedir apoio nos laboratórios, sempre tem gente disposta a ajudar os alunos com essas dúvidas. Então, também utilizei este recurso ao meu favor.
A equipe da DESEC comenta (não com essas palavras exatas) que o conteúdo do PEv2 é suficiente para passar na DCPT, e que praticar em plataformas de CTF pode mais atrapalhar do que ajudar. Entendo de onde vem o posicionamento, porém preferi estender os estudos pra essas plataformas, buscando máquinas com nível de dificuldade e estilo parecidos com o que eu tinha sentido nas duas primeiras tentativas. Assim como acordar cedo e ir para a academia todos os dias se tornou uma rotina, tornei os estudos uma rotina. De segunda a sexta, das 19:30 até 22:30, sentava e estudava alguma coisa: fazia um CTF, aprofundava sobre algum tema que tinha necessidade ou, até mesmo, assistia resoluções de CTF para entender a linha de raciocínio de pessoas mais experientes. O importante era sempre estar ali mantendo o conteúdo fresco. As anotações são ouro. Melhorei significativamente minhas anotações, adicionando cada comando que executei e uma evidência (printscreen). Isso te ajuda a acompanhar as ações realizadas sem que ocorra retrabalho, além de te dar mais clareza sobre todo o processo e o que falta realizar. Nas duas primeiras tentativas, notei que minhas anotações eram bem feitas até o momento em que eu travava na máquina. A partir daí, tentava várias coisas sem registrar nada. Por isso, essa mudança foi muito importante. Um aspecto que poucas pessoas comentam é o horário de início do exame. Preferi iniciar às 8h porque já é o horário em que costumo começar minhas atividades no dia a dia e, por esse horário, minha cabeça já está tranquila e ativa. Recomendo o mesmo para quem estiver na dúvida de qual horário agendar. Pense que a prova prática tem 24h, sua energia não pode ser desperdiçada.
O dia da prova
De pé desde as 7h da manhã e com café da manhã tomado, iniciei a prova às 8h. Dessa vez, muito mais confiante. Escolhi o primeiro host e iniciei minha enumeração. Logo de cara (e entre muitas canecas de café), fui surpreendido com o fato de que tudo correu bem. Finalizei este primeiro host às 10:57. Poderia ter sido até mais rápido, porém segui com minha metodologia e não deixei passar detalhes. Parti para o segundo host já com a cabeça mais tranquila, aquele peso inicial já saiu dos ombros. Nesse, as coisas foram um pouco mais complicadas. Os vetores de ataque eram realmente limitados e o que eu já tinha tentado não levava a lugar algum. Dei uma pausa para o almoço às 12:21 e aproveitei para abaixar a poeira. Preferi não retomar o host #2, onde eu tinha travado, e decidi deixar pra depois. Imaginei que, do jeito que eu estava, nenhuma ideia melhor ia surgir ali. Comecei o terceiro host às 12:43 já mandando um energético pra dentro pro sono da tarde não bater. Novamente dei de cara com um ambiente com poucas possibilidades. Para não perder muito tempo e me frustar, às 14:29 dei uma pausa novamente para me distrair e esfriar a cabeça. Lembrem-se do host #3, ele irá voltar pra me assombrar.
Parti para o quarto host às 14:41, dessa vez mais apreensivo pelo fato de ter pulado duas máquinas sem qualquer perspectiva de sucesso. Além disso, assim como no Pentest Experience, conseguimos ter uma noção do nível de dificuldade da máquina antes mesmo de iniciar e essa seria a mais difícil. Já com as mãos na massa, notei que o ambiente era muito mais complexo no quesito de detalhes. Enumerei e coletei o máximo de informações possíveis para entender o comportamento da aplicação. Testei algumas coisas até identificar o que e como deveria ser explorado. Apesar da complexidade do host, a exploração foi tranquila depois de juntar todas as peças. Fiz algumas pausas ao longo do caminho (com mais um pouco de café), mas consegui finalizar a máquina às 18:28 e com um pouco mais de esperança. Dei continuidade com o quinto host iniciando às 18:30 e, assim como o primeiro, não tive dificuldades em explorá-lo. Foi necessário um pouco de criatividade e lembrar alguns conceitos passados no treinamento do Novo Pentest Profissional. Quando o pessoal da DESEC diz que pode cair qualquer coisa do treinamento, é realmente qualquer coisa. Fechei essa máquina às 21:44. Até o momento já havia explorado 3 alvos, um deles bem mais complexo que os outros. Já estava mais animado com a possibilidade de realmente conseguir passar para a fase de escrita do report. Porém, ainda precisava finalizar dois hosts com poucas possibilidades de exploração. Eu precisava tirar alguma coisa da cartola. Retomando o host #2 às 22:06, recomecei minha enumeração. Lembrei do que tinha praticado: sempre tentar explorar as possibilidades de formas diferentes. Esse insight me fez encontrar o vetor necessário para explorar o que precisava. Sem muitos problemas, o host #2 foi finalizado às 22:33! Agora, só precisava de uma máquina. Já otimista, imaginei: "vou finalizar esta última máquina até no máximo 1 da manhã e descansar para escrever o relatório logo cedo". Bem inocente da minha parte.
Assim como fiz anteriormente, recomecei a enumeração e esgotei as possibilidades. Já estava ficando maluco e, apesar de ter tomado muita cafeína em apenas um dia, o cansaço começou a pesar. Refiz todo o processo diversas vezes, tentava absolutamente TUDO e encontrava absolutamente NADA. A partir daí, o desespero começou a bater e o pensamento de "e se eu não conseguir faltando esse pouco?" vinha à cabeça instintivamente. Após enumerar e reenumerar, ler e reler o terminal, até voltar ao treinamento para reassistir as aulas em busca de alguma pista perdida, me convenci de que não tinha chances de ser nada daquilo que eu estava tentando. Existia apenas um caminho que poderia me levar a algum lugar. Esse caminho já havia sido testado, porém faltou apenas um detalhe. Quando digitei o comando às 2:14 da manhã e a primeira pista de que eu estava no caminho certo apareceu na tela, o sono até foi embora!
Ainda assim, eu tinha apenas um pedaço da informação que eu precisava e voltei ao limbo. Travei novamente. Mas, olhando pra trás, dessa vez foi o cansaço mental que me fez travar, o vetor era muito claro. Mesmo na minha condição, fiz o teste que precisava e consegui avançar mais uma vez às 03:52 da manhã. A partir daí, eu estava com a faca e o queijo na mão. Felizmente o final desta máquina foi tranquilo porque, honestamente, não sei se minha mente conseguiria raciocinar qualquer outra coisa. Para o meu alívio, às 4h em ponto — faltando apenas 4 horas para o tempo esgotar — consegui a última flag e finalizei os 5 hosts!
O relatório
Já no dia seguinte com menos de 3 horas de sono, submeti todas as flags coletadas 15 minutos antes das 08h e comecei a escrever o relatório com os resultados obtidos. Fiz isso porque, ao submeter todas as flags, a contagem para a escrita do relatório já começa. Por isso, esperei até o último instante pra confirmar tudo. Por já atuar na área, não tive dificuldades nessa parte. Todas as anotações e evidências detalhadas que registrei durante a primeira etapa foram muito úteis. Tudo o que eu precisava já estava registrado, bastava colar no documento e escrever a minha linha de pensamento durante a exploração. No trabalho tento entregar os relatórios com o maior capricho e qualidade possível, porém, numa janela de 24 horas, não dá pra se dar o mesmo luxo. Ainda assim, tudo estava ali: sumário executivo com representações gráficas e resumo das vulnerabilidades utilizando uma linguagem acessível, focando em impacto ao negócio; narrativa com todas as evidências (printscreens) e comandos utilizados; e uma seção final com todas as vulnerabilidades identificadas durante os testes, impacto e recomendações técnicas para correção. O relatório estava pronto e enviado antes mesmo das 22h, um pouco mais de 12h de processo. Nesse período, deixava o relatório de lado por um tempo e depois retomava com a cabeça mais limpa e sem aquele olhar "viciado", para revisar e melhorar questões textuais ou de estrutura. Agora, o que restava era apenas esperar o resultado.
Finalmente, O RESULTADO!
Durante o período de espera ainda fiquei pensativo com "e se der errado?". Pode ser que tenha alguma divergência no meu relatório… Ou talvez eu tenha explorado alguma máquina de uma forma não esperada… Quem sabe até minha escrita não é tão boa quanto eu imaginava. Muita coisa poderia acontecer. A DESEC informa que o resultado final pode ser enviado em até 5 dias úteis. No meu caso, foi exatamente esse prazo. Como enviei o relatório em um domingo, recebi o resultado na segunda da semana seguinte com a APROVAÇÃO! Felizmente, deu tudo certo, e o peso de ter falhado duas vezes finalmente saiu das minhas costas.
Fica a lição
Beleza, escrevi pra caramba. Mas, o que podemos tirar disso tudo?
Nem sempre você vai acertar de primeira (eu não acertei), e faz parte do processo. Claro que é frustrante e o desânimo bate, porém precisamos ser sinceros e reconhecer que não fomos bons o suficiente naquele momento e buscar formas de melhorar. Dei algumas dicas ao longo do artigo, mas em resumo: • Tenha uma metodologia sólida, enumere tudo o que for possível; • Registre todas as suas tentativas, mesmo as que não deram certo; • Disciplina de estudos é essencial; • Explore as máquinas com intenção, tenha clareza do que você está fazendo; • Pratique a escrita de relatórios, principalmente se não tem experiência nisso; e • O fator técnico é importante, mas em um exame de 24 horas o seu maior aliado (ou inimigo) é a sua mente. Portanto, descanse bem para o dia da prova.
Desejo boa sorte a todos que estejam nesse processo. Independentemente de qualquer coisa, sigam em frente que, em algum momento, vai dar certo!
Conecte-se comigo no LinkedIn.