Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
OSEP取るまでにやったこと
Search
takahoyo
May 05, 2023
0
1.7k
OSEP取るまでにやったこと
「OSCP勉強会 in 秋葉原オフ会」のLTで話した際の資料です。
https://off-sec-lab.connpass.com/event/279745/
takahoyo
May 05, 2023
Tweet
Share
More Decks by takahoyo
See All by takahoyo
"申" (猿)がつくセキュリティツールを検証してみた
takahoyo
4
1.1k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
takahoyo
4
1.8k
malspamの情報収集と解析 / malspam information gathering and analysis
takahoyo
0
80
Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack
takahoyo
0
98
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
takahoyo
2
1.9k
パケットで遊ぼう / let's play using network packet
takahoyo
0
170
hpingで作るパケット / network packet craft by hping
takahoyo
0
290
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
takahoyo
0
64
Featured
See All Featured
Designing on Purpose - Digital PM Summit 2013
jponch
115
7k
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
It's Worth the Effort
3n
183
27k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
109
49k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.3k
Faster Mobile Websites
deanohume
305
30k
Rebuilding a faster, lazier Slack
samanthasiow
79
8.7k
Reflections from 52 weeks, 52 projects
jeffersonlam
346
20k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
226
22k
BBQ
matthewcrist
85
9.3k
How To Stay Up To Date on Web Technology
chriscoyier
788
250k
Save Time (by Creating Custom Rails Generators)
garrettdimon
PRO
27
840
Transcript
OSEP取るまでにやったこと OSCP勉強会 in 秋葉原オフ会 ほよたか (@takahoyo) 2023/5/5 1
話そうと思った経緯 • 1年前にOSEP受かったが、受験記書いてなかったのでここで供養 • なので、現在は内容が変わってるかもしれません… 2023/5/5 3
OSEPとは? • Offsec社のペンテストの資格試験 • OSEP = OffSec Experienced Pentester •
PEN-300トレーニングとセット • OSCP (PEN-200) の上位資格 2023/5/5 4 https://www.offsec.com/courses-and-certifications/
PEN-300 2023/5/5 5 • テーマは Evasion Techniques and Breaching Defenses
(回避手法と防御の突破) • Client Side Code Execution With Office • VBA Shellcode Runner / PowerShell Shellcode Runner • Client Side Code Execution With Windows Script Host • JScript • Process Injection and Migration • Process Injection • DLL Injection / Reflective DLL Injection • Process Hollowing • Introduction to Antivirus Evasion • Advanced Antivirus Evasion • AMSI Bypass / UAC Bypass • Application Whitelisting • AppLocker Bypass • Bypassing Network Filters • Linux Post-Exploitation • Windows Credentials • SAM / LAPS / Access Token / Kerberos Authentication / Credential Dump • Windows Lateral Movement • RDP / PsExec • Linux Lateral Movement • SSH / Ansible / Kerberos on Linux • Microsoft SQL Attacks • Active Directory Exploitation • AD Object ACL, Kerberos Delegation, Forest Evasion Techniques Lateral Movement
PEN-200 vs PEN-300 (AD関連) 2023/5/5 6 PEN-200(OSCP) • Active Directory
Enumeration • User, Group • SPN • Active Directory Attack • Credential Dump(NTLM Hash, Kerberos Ticket) • Kerberoasting • Password Spray • Pass the Hash • Over Pass the Hash • Pass the Ticket • DCOM • Golden Ticket • DCSync PEN-300(OSEP) • Active Directory Enumeration • ACL • Delegation • Trust (Forest) • Active Directory Attack • Object ACL Abuse • GenericAll, WriteDACL • Kerberos Delegation Abuse • Unconstrained • Constrained • Resource-based • Active Directory Forest Abuse • Multi-domain • Child-domain
OSEP取得までにやったこと • PEN-300 申込み (90日コース) • ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目)
• 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) 2023/5/5 7
PEN-300 申込み(90日コース) • 期限を決めた方が良いと思い、90日コースに申し込み • 最初の20日くらいはSANS Holiday Hack Challenge をやってし
まう… 2023/5/5 8
ラボ(Challenges) をやりつつ、テキスト読む • PEN-300のLabは、 Course Modules と Challenges に分かれている •
Challenges は 全部で6問 • 1つのChallengeは、3~10台のマシンで構成 • Challengeには、トレーニング内容が盛り込まれていた(体感8割くらい) 2023/5/5 9
ラボ(Challenges) をやりつつ、テキスト読む • わからない部分はテキストを読んだり、Course Moduleを起動して試す • (どうしてもわからない場合は)Discord (#pen-300-labs) で質問 •
Challenges を通して、試験で使うプロシージャ、ツールを準備 • テキストに書かれているツールの改良 • OSEP Code Snippets ( https://github.com/chvancooten/OSEP-Code-Snippets ) にコードサンプルがある • 既製のOSSツールの検証 • BloodHound : https://github.com/BloodHoundAD/BloodHound • Rubeus: https://github.com/GhostPack/Rubeus • Chisel : https://github.com/jpillora/chisel • SQLRecon: https://github.com/skahwah/SQLRecon • など 2023/5/5 10
ラボ(Challenges) をやりつつ、テキスト読む • 結局、TwitterやDiscordでヒントを貰い突破した 2023/5/5 11 • 2週間くらい詰まったChallengeも…
OSEP試験 • 約48時間以内に、100点以上、もしくはsecret.txt 取得し、24時間以内に レポート提出で合格 • フラグは、local.txt (一般権限、ない場合もある), proof.txt(管理者権限) 、
secret.txt (最後のマシンにある) • 1X台程度の環境、複数のドメイン • 複数の攻略ルートがあり、すべてを攻略する必要はなかった • 試験のルールは OSEP Exam Guide を参照 • https://help.offsec.com/hc/en-us/articles/360050293792-OSEP-Exam-Guide 2023/5/5 12
試験(1回目) • Initial Accessに1/4くらい時間が溶ける • 全然OSEPの範囲じゃないじゃん… • Rabbit Hole にハマる
• パスワードクラックできたけど、使えない… • Constrained Delegation うまく出来ない… • レポート書かないで終了 2023/5/5 13
自分で脆弱性のある環境を作って攻撃 • 試験でうまく出来なかったのが悔しかったので、自分で脆弱性 のある環境を作る 2023/5/5 14
自分で脆弱性のある環境を作って攻撃 • Automated Labを使用して、Windows の AD環境を構築 • ユーザが定義したWindows環境をHyper-V上に立てられる • Windowsの試用版でもOK
• https://github.com/AutomatedLab/AutomatedLab • Vulnarable-AD を使って、脆弱なAD設定を作る • https://github.com/WazeHell/vulnerable-AD • Windows Defender のON/OFFを試せる環境を作る • ツールが動作しない原因の切り分けをするため • AMSI Bypassのコードが試験環境では反応しなかったが、現在のバージョンの シグネチャだと反応することがわかったりした 2023/5/5 15
自分で脆弱性のある環境を作って攻撃 • Constrained Delegation が試せる環境を作る • 設定方法は、ired[.]team や Microsoftのドキュメントを参考 2023/5/5
16 https://www.ired.team/offensive-security-experiments/active-directory-kerberos-abuse/abusing-kerberos-constrained-delegation
試験(2回目) • 1回目の試験で詰まったところは、自分で検証したおかげで詰 まらなかった • 1つ目のルートで、DomainAdminまで取得 • 違うルートのマシンを1台攻略 • 相変わらず、PEN-300の範囲外の知識や発想も必要だった
• 最後のドメインは攻略できなかった • レポートは95ページ程度 2023/5/5 17
学べたこと • 攻撃者の検知回避手法、難読化手法を手を動かしながら学べた • 防御者としても、攻撃者が使うマルウェアの実装イメージを学べるため有益 • Active Directory の設定不備による脆弱性とその攻撃手法を学べた •
PEN-300のコンテンツを消化するだけでなく、自分で脆弱な環境を環境構築する ことで理解が深まった 2023/5/5 18
今日話したこと • PEN-300/OSEP の紹介 • OSEP取得までにやったこと • PEN-300 申込み (90日コース)
• ラボ(Challenges) をやりつつ、テキスト読む • 試験(1回目) • 自分で脆弱性のある環境を作って攻撃 • ラボ(Challenges)を1ヶ月延長 • 試験(2回目) • 学べたことの共有 2023/5/5 19