Upgrade to Pro — share decks privately, control downloads, hide ads and more …

OSEP取るまでにやったこと

takahoyo
May 05, 2023
0
1.2k

 OSEP取るまでにやったこと

「OSCP勉強会 in 秋葉原オフ会」のLTで話した際の資料です。
https://off-sec-lab.connpass.com/event/279745/

takahoyo

May 05, 2023
Tweet

More Decks by takahoyo

See All by takahoyo
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
940
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.7k
malspamの情報収集と解析 / malspam information gathering and analysis
takahoyo
0
77
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
89
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
1.7k
パケットで遊ぼう / let's play using network packet
takahoyo
0
140
hpingで作るパケット / network packet craft by hping
takahoyo
0
250
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
55

Featured

See All Featured
Facilitating Awesome Meetings
lara
42
5.6k
KATA
mclloyd
15
12k
The Mythical Team-Month
searls
216
42k
GraphQLとの向き合い方2022年版
quramy
32
12k
Code Reviewing Like a Champion
maltzj
514
39k
Thoughts on Productivity
jonyablonski
58
3.8k
A Philosophy of Restraint
colly
197
16k
Building Your Own Lightsaber
phodgson
99
5.7k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
40
4.4k
Gamification - CAS2011
davidbonilla
76
4.6k
Designing for Performance
lara
601
67k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
227
16k

Transcript

  1. OSEP取るまでにやったこと OSCP勉強会 in 秋葉原オフ会 ほよたか (@takahoyo) 2023/5/5 1

  2. 話そうと思った経緯 • 1年前にOSEP受かったが、受験記書いてなかったのでここで供養 • なので、現在は内容が変わってるかもしれません… 2023/5/5 3

  3. OSEPとは? • Offsec社のペンテストの資格試験 • OSEP = OffSec Experienced Pentester •

    PEN-300トレーニングとセット • OSCP (PEN-200) の上位資格 2023/5/5 4 https://www.offsec.com/courses-and-certifications/

  4. PEN-300 2023/5/5 5 • テーマは Evasion Techniques and Breaching Defenses

    (回避手法と防御の突破) • Client Side Code Execution With Office • VBA Shellcode Runner / PowerShell Shellcode Runner • Client Side Code Execution With Windows Script Host • JScript • Process Injection and Migration • Process Injection • DLL Injection / Reflective DLL Injection • Process Hollowing • Introduction to Antivirus Evasion • Advanced Antivirus Evasion • AMSI Bypass / UAC Bypass • Application Whitelisting • AppLocker Bypass • Bypassing Network Filters • Linux Post-Exploitation • Windows Credentials • SAM / LAPS / Access Token / Kerberos Authentication / Credential Dump • Windows Lateral Movement • RDP / PsExec • Linux Lateral Movement • SSH / Ansible / Kerberos on Linux • Microsoft SQL Attacks • Active Directory Exploitation • AD Object ACL, Kerberos Delegation, Forest Evasion Techniques Lateral Movement

  5. PEN-200 vs PEN-300 (AD関連) 2023/5/5 6 PEN-200(OSCP) • Active Directory

    Enumeration • User, Group • SPN • Active Directory Attack • Credential Dump(NTLM Hash, Kerberos Ticket) • Kerberoasting • Password Spray • Pass the Hash • Over Pass the Hash • Pass the Ticket • DCOM • Golden Ticket • DCSync PEN-300(OSEP) • Active Directory Enumeration • ACL • Delegation • Trust (Forest) • Active Directory Attack • Object ACL Abuse • GenericAll, WriteDACL • Kerberos Delegation Abuse • Unconstrained • Constrained • Resource-based • Active Directory Forest Abuse • Multi-domain • Child-domain

  6. OSEP取得までにやったこと • PEN-300 申込み (90日コース) • ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目)

    • 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) 2023/5/5 7

  7. PEN-300 申込み(90日コース) • 期限を決めた方が良いと思い、90日コースに申し込み • 最初の20日くらいはSANS Holiday Hack Challenge をやってし

    まう… 2023/5/5 8

  8. ラボ(Challenges) をやりつつ、テキスト読む • PEN-300のLabは、 Course Modules と Challenges に分かれている •

    Challenges は 全部で6問 • 1つのChallengeは、3~10台のマシンで構成 • Challengeには、トレーニング内容が盛り込まれていた(体感8割くらい) 2023/5/5 9

  9. ラボ(Challenges) をやりつつ、テキスト読む • わからない部分はテキストを読んだり、Course Moduleを起動して試す • (どうしてもわからない場合は)Discord (#pen-300-labs) で質問 •

    Challenges を通して、試験で使うプロシージャ、ツールを準備 • テキストに書かれているツールの改良 • OSEP Code Snippets ( https://github.com/chvancooten/OSEP-Code-Snippets ) にコードサンプルがある • 既製のOSSツールの検証 • BloodHound : https://github.com/BloodHoundAD/BloodHound • Rubeus: https://github.com/GhostPack/Rubeus • Chisel : https://github.com/jpillora/chisel • SQLRecon: https://github.com/skahwah/SQLRecon • など 2023/5/5 10

  10. ラボ(Challenges) をやりつつ、テキスト読む • 結局、TwitterやDiscordでヒントを貰い突破した 2023/5/5 11 • 2週間くらい詰まったChallengeも…

  11. OSEP試験 • 約48時間以内に、100点以上、もしくはsecret.txt 取得し、24時間以内に レポート提出で合格 • フラグは、local.txt (一般権限、ない場合もある), proof.txt(管理者権限) 、

    secret.txt (最後のマシンにある) • 1X台程度の環境、複数のドメイン • 複数の攻略ルートがあり、すべてを攻略する必要はなかった • 試験のルールは OSEP Exam Guide を参照 • https://help.offsec.com/hc/en-us/articles/360050293792-OSEP-Exam-Guide 2023/5/5 12

  12. 試験(1回目) • Initial Accessに1/4くらい時間が溶ける • 全然OSEPの範囲じゃないじゃん… • Rabbit Hole にハマる

    • パスワードクラックできたけど、使えない… • Constrained Delegation うまく出来ない… • レポート書かないで終了 2023/5/5 13

  13. 自分で脆弱性のある環境を作って攻撃 • 試験でうまく出来なかったのが悔しかったので、自分で脆弱性 のある環境を作る 2023/5/5 14

  14. 自分で脆弱性のある環境を作って攻撃 • Automated Labを使用して、Windows の AD環境を構築 • ユーザが定義したWindows環境をHyper-V上に立てられる • Windowsの試用版でもOK

    • https://github.com/AutomatedLab/AutomatedLab • Vulnarable-AD を使って、脆弱なAD設定を作る • https://github.com/WazeHell/vulnerable-AD • Windows Defender のON/OFFを試せる環境を作る • ツールが動作しない原因の切り分けをするため • AMSI Bypassのコードが試験環境では反応しなかったが、現在のバージョンの シグネチャだと反応することがわかったりした 2023/5/5 15

  15. 自分で脆弱性のある環境を作って攻撃 • Constrained Delegation が試せる環境を作る • 設定方法は、ired[.]team や Microsoftのドキュメントを参考 2023/5/5

    16 https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation

  16. 試験(2回目) • 1回目の試験で詰まったところは、自分で検証したおかげで詰 まらなかった • 1つ目のルートで、DomainAdminまで取得 • 違うルートのマシンを1台攻略 • 相変わらず、PEN-300の範囲外の知識や発想も必要だった

    • 最後のドメインは攻略できなかった • レポートは95ページ程度 2023/5/5 17

  17. 学べたこと • 攻撃者の検知回避手法、難読化手法を手を動かしながら学べた • 防御者としても、攻撃者が使うマルウェアの実装イメージを学べるため有益 • Active Directory の設定不備による脆弱性とその攻撃手法を学べた •

    PEN-300のコンテンツを消化するだけでなく、自分で脆弱な環境を環境構築する ことで理解が深まった 2023/5/5 18

  18. 今日話したこと • PEN-300/OSEP の紹介 • OSEP取得までにやったこと • PEN-300 申込み (90日コース)

    • ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目) • 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) • 学べたことの共有 2023/5/5 19