En primer lugar, ¿estás seguro de que quieres convertirte en eso? No es tan genial como crees.
Segundo, no puedes encontrar la falta de controles de seguridad si no sabes qué estás probando. ¿Qué significa esto? Primero necesitas experiencia. A medida que quiera convertirse en pentester, va a tener un montón de experiencia, como mínimo debe ser competente en redes, administración de sistemas, aplicaciones web y bases de datos. Ser competente no es "hey, sé cómo crear una subred, instalar una pila LAMP, configurar un sitio de WordPress y consultar una base de datos". Realmente necesitas saber cómo funciona todo, de lo contrario, serás solo otro mono que ejecutará Nessus, w3af, ZAP y Metasploit.
Finalmente, CEH? Primero ve a lo básico. Seguridad +.