Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OSEP取るまでにやったこと
Search
takahoyo
May 05, 2023
0
1.6k
OSEP取るまでにやったこと
「OSCP勉強会 in 秋葉原オフ会」のLTで話した際の資料です。
https://off-sec-lab.connpass.com/event/279745/
takahoyo
May 05, 2023
Tweet
Share
More Decks by takahoyo
See All by takahoyo
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.8k
malspamの情報収集と解析 / malspam information gathering and analysis
takahoyo
0
78
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
96
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
1.9k
パケットで遊ぼう / let's play using network packet
takahoyo
0
170
hpingで作るパケット / network packet craft by hping
takahoyo
0
290
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
64
Featured
See All Featured
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
14
1.9k
The Straight Up "How To Draw Better" Workshop
denniskardys
232
140k
Mobile First: as difficult as doing things right
swwweet
222
8.9k
Bash Introduction
62gerente
608
210k
Typedesign – Prime Four
hannesfritz
39
2.4k
Happy Clients
brianwarren
97
6.7k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
smashingmag
250
21k
Java REST API Framework Comparison - PWX 2021
mraible
PRO
28
7.9k
Adopting Sorbet at Scale
ufuk
73
9k
KATA
mclloyd
29
13k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Transcript
OSEP取るまでにやったこと OSCP勉強会 in 秋葉原オフ会 ほよたか (@takahoyo) 2023/5/5 1
話そうと思った経緯 • 1年前にOSEP受かったが、受験記書いてなかったのでここで供養 • なので、現在は内容が変わってるかもしれません… 2023/5/5 3
OSEPとは? • Offsec社のペンテストの資格試験 • OSEP = OffSec Experienced Pentester •
PEN-300トレーニングとセット • OSCP (PEN-200) の上位資格 2023/5/5 4 https://www.offsec.com/courses-and-certifications/
PEN-300 2023/5/5 5 • テーマは Evasion Techniques and Breaching Defenses
(回避手法と防御の突破) • Client Side Code Execution With Office • VBA Shellcode Runner / PowerShell Shellcode Runner • Client Side Code Execution With Windows Script Host • JScript • Process Injection and Migration • Process Injection • DLL Injection / Reflective DLL Injection • Process Hollowing • Introduction to Antivirus Evasion • Advanced Antivirus Evasion • AMSI Bypass / UAC Bypass • Application Whitelisting • AppLocker Bypass • Bypassing Network Filters • Linux Post-Exploitation • Windows Credentials • SAM / LAPS / Access Token / Kerberos Authentication / Credential Dump • Windows Lateral Movement • RDP / PsExec • Linux Lateral Movement • SSH / Ansible / Kerberos on Linux • Microsoft SQL Attacks • Active Directory Exploitation • AD Object ACL, Kerberos Delegation, Forest Evasion Techniques Lateral Movement
PEN-200 vs PEN-300 (AD関連) 2023/5/5 6 PEN-200(OSCP) • Active Directory
Enumeration • User, Group • SPN • Active Directory Attack • Credential Dump(NTLM Hash, Kerberos Ticket) • Kerberoasting • Password Spray • Pass the Hash • Over Pass the Hash • Pass the Ticket • DCOM • Golden Ticket • DCSync PEN-300(OSEP) • Active Directory Enumeration • ACL • Delegation • Trust (Forest) • Active Directory Attack • Object ACL Abuse • GenericAll, WriteDACL • Kerberos Delegation Abuse • Unconstrained • Constrained • Resource-based • Active Directory Forest Abuse • Multi-domain • Child-domain
OSEP取得までにやったこと • PEN-300 申込み (90日コース) • ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目)
• 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) 2023/5/5 7
PEN-300 申込み(90日コース) • 期限を決めた方が良いと思い、90日コースに申し込み • 最初の20日くらいはSANS Holiday Hack Challenge をやってし
まう… 2023/5/5 8
ラボ(Challenges) をやりつつ、テキスト読む • PEN-300のLabは、 Course Modules と Challenges に分かれている •
Challenges は 全部で6問 • 1つのChallengeは、3~10台のマシンで構成 • Challengeには、トレーニング内容が盛り込まれていた(体感8割くらい) 2023/5/5 9
ラボ(Challenges) をやりつつ、テキスト読む • わからない部分はテキストを読んだり、Course Moduleを起動して試す • (どうしてもわからない場合は)Discord (#pen-300-labs) で質問 •
Challenges を通して、試験で使うプロシージャ、ツールを準備 • テキストに書かれているツールの改良 • OSEP Code Snippets ( https://github.com/chvancooten/OSEP-Code-Snippets ) にコードサンプルがある • 既製のOSSツールの検証 • BloodHound : https://github.com/BloodHoundAD/BloodHound • Rubeus: https://github.com/GhostPack/Rubeus • Chisel : https://github.com/jpillora/chisel • SQLRecon: https://github.com/skahwah/SQLRecon • など 2023/5/5 10
ラボ(Challenges) をやりつつ、テキスト読む • 結局、TwitterやDiscordでヒントを貰い突破した 2023/5/5 11 • 2週間くらい詰まったChallengeも…
OSEP試験 • 約48時間以内に、100点以上、もしくはsecret.txt 取得し、24時間以内に レポート提出で合格 • フラグは、local.txt (一般権限、ない場合もある), proof.txt(管理者権限) 、
secret.txt (最後のマシンにある) • 1X台程度の環境、複数のドメイン • 複数の攻略ルートがあり、すべてを攻略する必要はなかった • 試験のルールは OSEP Exam Guide を参照 • https://help.offsec.com/hc/en-us/articles/360050293792-OSEP-Exam-Guide 2023/5/5 12
試験(1回目) • Initial Accessに1/4くらい時間が溶ける • 全然OSEPの範囲じゃないじゃん… • Rabbit Hole にハマる
• パスワードクラックできたけど、使えない… • Constrained Delegation うまく出来ない… • レポート書かないで終了 2023/5/5 13
自分で脆弱性のある環境を作って攻撃 • 試験でうまく出来なかったのが悔しかったので、自分で脆弱性 のある環境を作る 2023/5/5 14
自分で脆弱性のある環境を作って攻撃 • Automated Labを使用して、Windows の AD環境を構築 • ユーザが定義したWindows環境をHyper-V上に立てられる • Windowsの試用版でもOK
• https://github.com/AutomatedLab/AutomatedLab • Vulnarable-AD を使って、脆弱なAD設定を作る • https://github.com/WazeHell/vulnerable-AD • Windows Defender のON/OFFを試せる環境を作る • ツールが動作しない原因の切り分けをするため • AMSI Bypassのコードが試験環境では反応しなかったが、現在のバージョンの シグネチャだと反応することがわかったりした 2023/5/5 15
自分で脆弱性のある環境を作って攻撃 • Constrained Delegation が試せる環境を作る • 設定方法は、ired[.]team や Microsoftのドキュメントを参考 2023/5/5
16 https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation
試験(2回目) • 1回目の試験で詰まったところは、自分で検証したおかげで詰 まらなかった • 1つ目のルートで、DomainAdminまで取得 • 違うルートのマシンを1台攻略 • 相変わらず、PEN-300の範囲外の知識や発想も必要だった
• 最後のドメインは攻略できなかった • レポートは95ページ程度 2023/5/5 17
学べたこと • 攻撃者の検知回避手法、難読化手法を手を動かしながら学べた • 防御者としても、攻撃者が使うマルウェアの実装イメージを学べるため有益 • Active Directory の設定不備による脆弱性とその攻撃手法を学べた •
PEN-300のコンテンツを消化するだけでなく、自分で脆弱な環境を環境構築する ことで理解が深まった 2023/5/5 18
今日話したこと • PEN-300/OSEP の紹介 • OSEP取得までにやったこと • PEN-300 申込み (90日コース)
• ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目) • 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) • 学べたことの共有 2023/5/5 19