OSEP取るまでにやったこと

Transcript

1. OSEP取るまでにやったこと OSCP勉強会 in 秋葉原オフ会 ほよたか (@takahoyo) 2023/5/5 1

2. 話そうと思った経緯 • 1年前にOSEP受かったが、受験記書いてなかったのでここで供養 • なので、現在は内容が変わってるかもしれません… 2023/5/5 3

3. OSEPとは？ • Offsec社のペンテストの資格試験 • OSEP = OffSec Experienced Pentester •

   PEN-300トレーニングとセット • OSCP (PEN-200) の上位資格 2023/5/5 4 https://www.offsec.com/courses-and-certifications/

4. PEN-300 2023/5/5 5 • テーマは Evasion Techniques and Breaching Defenses

   (回避手法と防御の突破) • Client Side Code Execution With Office • VBA Shellcode Runner / PowerShell Shellcode Runner • Client Side Code Execution With Windows Script Host • JScript • Process Injection and Migration • Process Injection • DLL Injection / Reflective DLL Injection • Process Hollowing • Introduction to Antivirus Evasion • Advanced Antivirus Evasion • AMSI Bypass / UAC Bypass • Application Whitelisting • AppLocker Bypass • Bypassing Network Filters • Linux Post-Exploitation • Windows Credentials • SAM / LAPS / Access Token / Kerberos Authentication / Credential Dump • Windows Lateral Movement • RDP / PsExec • Linux Lateral Movement • SSH / Ansible / Kerberos on Linux • Microsoft SQL Attacks • Active Directory Exploitation • AD Object ACL, Kerberos Delegation, Forest Evasion Techniques Lateral Movement

5. PEN-200 vs PEN-300 (AD関連) 2023/5/5 6 PEN-200(OSCP) • Active Directory

   Enumeration • User, Group • SPN • Active Directory Attack • Credential Dump(NTLM Hash, Kerberos Ticket) • Kerberoasting • Password Spray • Pass the Hash • Over Pass the Hash • Pass the Ticket • DCOM • Golden Ticket • DCSync PEN-300(OSEP) • Active Directory Enumeration • ACL • Delegation • Trust (Forest) • Active Directory Attack • Object ACL Abuse • GenericAll, WriteDACL • Kerberos Delegation Abuse • Unconstrained • Constrained • Resource-based • Active Directory Forest Abuse • Multi-domain • Child-domain

6. OSEP取得までにやったこと • PEN-300 申込み (90日コース) • ラボ（Challenges) をやりつつ、テキスト読む • 試験（1回目）

   • 自分で脆弱性のある環境を作って攻撃 • ラボ（Challenges）を1ヶ月延長 • 試験（2回目） 2023/5/5 7

7. PEN-300 申込み（90日コース） • 期限を決めた方が良いと思い、90日コースに申し込み • 最初の20日くらいはSANS Holiday Hack Challenge をやってし

   まう… 2023/5/5 8

8. ラボ（Challenges) をやりつつ、テキスト読む • PEN-300のLabは、 Course Modules と Challenges に分かれている •

   Challenges は 全部で6問 • 1つのChallengeは、3～10台のマシンで構成 • Challengeには、トレーニング内容が盛り込まれていた（体感8割くらい） 2023/5/5 9

9. ラボ（Challenges) をやりつつ、テキスト読む • わからない部分はテキストを読んだり、Course Moduleを起動して試す • （どうしてもわからない場合は）Discord (#pen-300-labs) で質問 •

   Challenges を通して、試験で使うプロシージャ、ツールを準備 • テキストに書かれているツールの改良 • OSEP Code Snippets ( https://github.com/chvancooten/OSEP-Code-Snippets ) にコードサンプルがある • 既製のOSSツールの検証 • BloodHound : https://github.com/BloodHoundAD/BloodHound • Rubeus: https://github.com/GhostPack/Rubeus • Chisel : https://github.com/jpillora/chisel • SQLRecon: https://github.com/skahwah/SQLRecon • など 2023/5/5 10

10. ラボ（Challenges) をやりつつ、テキスト読む • 結局、TwitterやDiscordでヒントを貰い突破した 2023/5/5 11 • 2週間くらい詰まったChallengeも…

11. OSEP試験 • 約48時間以内に、100点以上、もしくはsecret.txt 取得し、24時間以内に レポート提出で合格 • フラグは、local.txt (一般権限、ない場合もある), proof.txt（管理者権限） 、

    secret.txt (最後のマシンにある) • 1X台程度の環境、複数のドメイン • 複数の攻略ルートがあり、すべてを攻略する必要はなかった • 試験のルールは OSEP Exam Guide を参照 • https://help.offsec.com/hc/en-us/articles/360050293792-OSEP-Exam-Guide 2023/5/5 12

12. 試験（1回目） • Initial Accessに1/4くらい時間が溶ける • 全然OSEPの範囲じゃないじゃん… • Rabbit Hole にハマる

    • パスワードクラックできたけど、使えない… • Constrained Delegation うまく出来ない… • レポート書かないで終了 2023/5/5 13

13. 自分で脆弱性のある環境を作って攻撃 • 試験でうまく出来なかったのが悔しかったので、自分で脆弱性 のある環境を作る 2023/5/5 14

14. 自分で脆弱性のある環境を作って攻撃 • Automated Labを使用して、Windows の AD環境を構築 • ユーザが定義したWindows環境をHyper-V上に立てられる • Windowsの試用版でもOK

    • https://github.com/AutomatedLab/AutomatedLab • Vulnarable-AD を使って、脆弱なAD設定を作る • https://github.com/WazeHell/vulnerable-AD • Windows Defender のON/OFFを試せる環境を作る • ツールが動作しない原因の切り分けをするため • AMSI Bypassのコードが試験環境では反応しなかったが、現在のバージョンの シグネチャだと反応することがわかったりした 2023/5/5 15

15. 自分で脆弱性のある環境を作って攻撃 • Constrained Delegation が試せる環境を作る • 設定方法は、ired[.]team や Microsoftのドキュメントを参考 2023/5/5

    16 https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation

16. 試験（2回目） • 1回目の試験で詰まったところは、自分で検証したおかげで詰 まらなかった • 1つ目のルートで、DomainAdminまで取得 • 違うルートのマシンを1台攻略 • 相変わらず、PEN-300の範囲外の知識や発想も必要だった

    • 最後のドメインは攻略できなかった • レポートは95ページ程度 2023/5/5 17

17. 学べたこと • 攻撃者の検知回避手法、難読化手法を手を動かしながら学べた • 防御者としても、攻撃者が使うマルウェアの実装イメージを学べるため有益 • Active Directory の設定不備による脆弱性とその攻撃手法を学べた •

    PEN-300のコンテンツを消化するだけでなく、自分で脆弱な環境を環境構築する ことで理解が深まった 2023/5/5 18

18. 今日話したこと • PEN-300/OSEP の紹介 • OSEP取得までにやったこと • PEN-300 申込み (90日コース)

    • ラボ（Challenges) をやりつつ、テキスト読む • 試験（1回目） • 自分で脆弱性のある環境を作って攻撃 • ラボ（Challenges）を1ヶ月延長 • 試験（2回目） • 学べたことの共有 2023/5/5 19