根据 Offensive Security 官方最新考试政策（2025 年 7 月），OSCP 考试期间禁止或严格限制以下工具与行为：

---

一、绝对禁止使用的工具/服务

类别	举例	说明
商业/付费版本	Metasploit Pro、Burp Suite Pro、Cobalt Strike、Canvas、Core Impact、SAINT 等	任何带 Pro、Premium、Enterprise 字样的版本均不可使用。
自动化漏洞利用	SQLmap、SQLninja、db_autopwn、browser_autopwn、中国菜刀、蚁剑等全自动 GetShell 工具	只要工具可“一键完成利用”即算违规。
大规模漏洞扫描器	Nessus、OpenVAS、NeXpose、Rapid7 InsightVM 等	自动化批量扫描/验证漏洞的工具一律禁止。
欺骗 & 流量操控	IP、ARP、DNS、NBNS、DHCP 欺骗，ICMP 重定向 等	任何网络层欺骗与中间人手段均被禁止。
AI 辅助	ChatGPT、OffSec KAI、YouChat、Bard 等任何 AI 聊天机器人	一经发现直接判 0 分并可能终身禁考。
通讯与协作	微信、QQ、Slack、Discord、TeamViewer、远程协助、手机/平板/第二台电脑	考试期间只能使用一台笔记本，且不得与外界通讯。

---

二、有限制地允许使用（需遵守规则）

工具	限制要点
Metasploit Framework	只能对一台独立靶机使用（无论成功或失败）；禁止用于 AD 域环境；Meterpreter payload 与 exploit/multi/handler 共用一次额度。
Burp Suite	仅可使用 Free/Community 版；禁止用 Intruder 的“自动攻击”模式，只允许手动 Repeater/Decoder 等。
自定义脚本	可用 Python/Bash/Perl 等自写脚本，但不得实现全自动化利用；须能展示人工分析过程。
信息收集工具	Nmap（含 NSE）、Nikto、Gobuster、Dirb、whatweb、curl、wget、tcpdump、Wireshark 等均可正常使用。

---

三、官方红线原则

1. 功能原则：任何与上述禁止工具功能类似的软件，无论名称如何，均视为违规。

2. “一次判负”原则：监考员不会事先警告；一旦判定违规，成绩直接作废，且可能终身禁考。

3. 举证责任在考生：考生需自行确认所用工具的合规性，官方不会逐一解释。

---

备考建议

• 考试前务必通读官方最新 Exam Guide。

• 练习时养成“手动枚举+手写脚本”习惯，避免依赖自动化。

• 考前在 OffSec 官方 Discord 的 #oscp-exam 频道确认任何存疑工具。