Dragon Drop — dein Shortcut zu neuem OffSec-Content.
Wöchentlich landen neue Inhalte in der OffSec Learning Library — über 7.800 Stunden Text, 5.400 Labs und 1.600 Videos. Dragon Drop ist unser monatliches Live-Format: wir kuratieren das Relevante, kommentieren es scharf und trainieren es direkt mit dir. Kein passives Zusehen — aktives Mitlernen.
Dragon Drop macht über den Sommer eine Pause. Ab Ende September gibt es wieder monatlich neue Live-Sessions. Stay tuned — trag dich in den Newsletter ein, damit du den ersten Termin nicht verpasst.
Immer up to date — hands-on statt Theorie.
Wir zeigen dir, was aus der OffSec Library wirklich relevant ist — auch abseits prüfungsrelevanter Themen: Cloud Pentesting, ABAC, IMDSv2, ADCS, aktuelle CVEs.
Kurzes, interaktives Mini-Webinar mit direkter Anwendung. Kein passives Zusehen — sondern aktives Mitlernen mit Trainer-Feedback.
Vorrang für Exploit-Labs-Kund:innen. Einzelne Sessions öffnen wir für alle — der ideale Einstieg, um unser Trainer-Team und die Community kennenzulernen.
So fühlt sich OffSec Learn Enterprise im Alltag an.
Learn Enterprise ist OffSecs Team-Lizenz: voller Zugriff auf alle Kurse (OSCP, OSEP, OSWE, OSDA, OSED …), Labs und Prüfungspfade — plus SOC-2-konforme Team-Verwaltung. Dragon Drop macht sichtbar, was du damit monatlich bekommst: neue Kursmodule, aktuelle CVEs, Cloud- und AD-Angriffspfade — kuratiert und geübt.
Für Teams ist Dragon Drop damit doppelt wertvoll: als kostenfreier Probelauf vor dem Learn-Enterprise-Rollout — und als monatliches Cadence-Format, das eure Analyst:innen und Pentester:innen kontinuierlich am OffSec-Content dranhält.
Was in vergangenen Sessions auf dem Tisch lag.
OSCP+ mit stärkerem AD-Fokus: 24 h Prüfung + 24 h Reporting. Enumeration, Exploitation und AD-Angriffspfade — Tipps direkt aus Prüfungserfahrung.
NTLM vs. Kerberos, Password Spraying, AS-REP Roasting, Kerberoasting, Cached Credentials, Credential Guard — inklusive Assumed-Breach-Szenarien.
Full-Chain Red-Team-Übung gegen einen fiktiven Energieversorger: IT-zu-OT-Lateral-Movement bis zu einem SCADA-basierten Turbine-Shutdown.
Apache-Camel-Header-Bypass (CVE-2025-27636) und CraftCMS-RCE (CVE-2025-32432) — Foothold, Privesc über schlampige sudo-Rechte, End-to-End.
Cloud-Assessment eines Krankenhaus-Webstacks — DNS-Recon, App-Auth-Bypass, PHI-Zugriff. Ideal für OSCP-Extra-Mile und Cloud-Einstieg.
Vertiefende AD-Angriffspfade: Enumeration, Lateral Movement, Credential Abuse und moderne Persistenztechniken — kompakt und hands-on.
Server-Side Request Forgery in der Praxis: Identifikation, Exploitation, Bypass-Techniken und Impact-Verstärkung in realen Web-Stacks.
Arbitrary File Write über AnythingLLMs Upload-Funktion. Path Traversal ermöglicht das Überschreiben von /root/.ssh/authorized_keys — SSH-Zugang als root, Privilege Escalation und persistenter Fernzugriff.
Authentisierter Zugriff auf das Voyager Admin-Panel. Der Compass-Download-Handler erlaubt das base64-verschlüsselte Auslesen beliebiger Dateien — SSH-Schlüssel abgreifen und via SSH auf root eskalieren.
13 Jahre alter Use-After-Free im Lua-Parser von redis-server. Authenticated Angreifer forciert GC während dangling references → RCE.
Dragon Drop — FAQ
Ein monatliches, live moderiertes Mini-Training (2–3 Stunden) zu neuen Inhalten aus der OffSec Learning Library — OSCP, OSEP, OSWE und übergreifende Themen wie Cloud Pentesting oder Active Directory. Kurz, hands-on, ohne Marketing-Ballast.
Eine aktive OffSec-Subscription (Learn One, Learn Enterprise oder Course + Cert Bundle). Vorrang haben Kund:innen, die ihre Lizenz über Exploit Labs bezogen haben. Einzelne Sessions öffnen wir für alle — bleib über unseren Newsletter informiert.
In der Regel mindestens einmal pro Monat, außerhalb der Sommerpause. Wenn OffSec spannenden neuen Content veröffentlicht, drehen wir auch mal eine Zusatzrunde.
Das hängt vom jeweiligen Drop ab: mal konkrete Kurse (OSCP, OSEP, OSWE), mal übergreifende Themen wie Cloud Pentesting, ADCS-Missbrauch, aktuelle CVEs oder Cyber Ranges.
Dragon Drop ist der beste Weg, um ohne Commitment einen echten Einblick in das zu bekommen, was Learn Enterprise Teams monatlich an neuem Content liefert — kuratiert, kommentiert und direkt gemeinsam geübt.
Trag dich vor — wir melden uns mit dem ersten Termin nach der Sommerpause.