Get best of the week

我如何租用OSCP



我和我的同事参加了OSCP课程并通过了考试。在本文中,我将详细介绍考试的及格方式,缺陷以及游戏是否值得一试。

一切如何开始


我的同事 c4n两年前,他说我们应该通过OSCP,而我也同意,但是就像有好主意的情况一样,我们打败了这个好主意。

一年后,我们公司有机会免费为员工提供有用的培训((,我的理解与管理层并不相符,侍酒师的课程仍然拒绝向我付款)。被光荣事业传给OSCP拉戈洛夫尼亚,表示我们的就业借口一般,我们需要继续。

然后我们开始了。

我们对OSCP有什么了解


我们知道OSCP实际上包括三个部分:理论材料(以下称为pdf),使用虚拟机访问实验室(以下称为实验室)和考试。

方式的开始


事实证明,可以购买30、60或90天的实验室访问权限,费用分别为999美元,1199美元,1349美元。由于我们不想将所有的空闲时间仅用于OSCP,并且30天与90天之间的差额仅为350美元),因此我们选择了90天的访问权限。

在2019年10月9日,我为这门课程付费,希望获得3个月的乐趣,我错了多大,我获得了5个月的乐趣。原因如下:第

一次设置:明天就不能开始训练。就我而言,最近的开始日期是10月20日(正如他们在论坛上所说的,付款后的平均开始时间为2周)。

然后在10月9日,他们发送了一个测试包(连接包)以连接到VPN。从他们的测试来看,我的VPN连接没有问题(事实证明,当时他们进行了所谓的测试,我稍后再告诉您)。然后他们发送了一个链接到他们的程序集Kali(外观与平常没什么不同),该链接是专门为通过而准备的。

课程开始


正式而言,该课程于10月20日凌晨3:00开始,但是一封包含课程材料的信函于03:09到达(我只有在撰写本文时才注意到这种差异)。该课程材料的信包含指向以下内容的链接:

  • 380页pdfku
  • 此pdfk的视频片段
  • VPN连接包

在这里,我们面临第二种设置:下载链接有效期为72个小时,如果他们没有时间下载,他们会要求另外支付100美元,然后他们会仔细说一个备份并开个玩笑:“ 记住明智的说法:“有两种类型的人。那些备份者和那些尚未失去一切的人都将死于系统崩溃。»
另外,在所有论坛中,建议从pdfk中的任务开始课程。我们都做到了。

PDF中的任务


pdfk的任务需要完成,以便学习新的工具和技术,记住如何使用工具,并可能在考试中获得5分。令人惊讶的是:在pdfk中,没有关于Burp Suite和PowerShell Empire的字眼(应该在2月的更新中添加)。

从基础上讲了它的故事:我们被告知Google,使用nc.exe(netcat),tcpdump和wirehark等工具更可能与系统工程而非安全性相关。只有在380页的113中,我们才能了解nmap!

我们还被教导要使用考试中无法使用的工具,例如OpenVAS。此外,示例经常使用抄表器,这也是被禁止的(只能在一台机器上使用)。总的来说,我仍然不明白是什么导致了对Meterpreter的禁令,很明显,您可以禁止它在它的帮助下增加,但是通过多个控制台保持相反的状态将很方便。

从第148页开始的缓冲区溢出开始变得很有趣,在这里我发现了VPN连接的问题。事实证明,我的ISP杀死了数据包的大小,而实验室中的VPN是使用UDP构建的,而我的带有缓冲区溢出的数据包却根本没有通过并消失。解决方案很简单-通过添加以下行来修复配置:

tun-mtu 1492
mssfix 1370

但是非常不幸的是,OCSP组织者并未进行此类检查,因为在他们的论坛上,很多人抱怨。我为此花了5个小时,感到很紧张(自己找到解决方案,然后我在论坛上找到了很多与此相关的分支机构)。

为了编写缓冲区溢出并使用Windows进行各种实验,它们为我们在实验室内提供了虚拟机,这非常方便。在整个过程中,我没有安装自己的单个虚拟机(曾经尝试安装Windows XP SP2,但没有找到可用的种子)。

通常,缓冲区溢出的任务写得很好(对于Windows和Linux),分步执行此操作很不错,这是在大学中教授的。 OSCP课程显然表示绕过DEP和ASLR不包含在课程中。

然后他们告诉我们如何准备漏洞利用程序,传输文件,谈论特权升级,但是这样我们仍然可以在实验室中发挥足够的作用,所以没关系。

接下来是一个专门针对用户攻击(客户端攻击)的程序块,在那里我遇到了“经过特殊准备的” Kali计算机的问题,该计算机具有Java的较新版本,而我的Java Appet在测试计算机上不起作用。另外需要5个小时的时间来自行搜索和解决问题,当然,论坛上还有关于此的主题。)

通常,所有内容都可以在论坛上找到,如果您陷入僵局,这是一个非常有用的地方,但是我只在课程结束时才了解这一点。

接下来是网络攻击-XSS,LFI,RFI,SQL注入等。它写得很好,给出了戳的例子。他们谈论的是sqlmap,它也不能在考试中使用,但是,了解它当然是有用的。

对我来说,对密码的进一步攻击(针对Windows和Linux的暴力破解和获取哈希)已经非常广泛,我将一些任务留给以后(并且已经在实验室内完成了)。最后,还有一个有关元拆分以及如何通过编写自己的模块来使用它的故事。它还提供了一个使用所描述的许多技术入侵虚拟公司的示例(占34页)。

通常,在100页的情况下,所有pdf中都存在pdf(并且有大量的屏幕截图)。我花了2个星期阅读它并完成任务(但我并不着急)。

- , , , .


解决该实验室后,决定不使用Metasploit和Meterpreter,因为他们不能(只能一次)在考试中使用。

Laba由大约60个虚拟机组成,所有机器都分为4个子网(公用网络,开发人员网络,IT部门网络,管理员网络)。最初,访问仅在公共网络中进行(实际上,访问在所有网络中进行,我们只是无法从非公共网络撤消计算机)。在实验室中(我写的是2月更新之前的事件),所有计算机都相当老旧,最新的Windows是Windows Server 2012R2(相当多的Windows XP),Linux机器是Ubuntu 14(Ubuntu 8也在实验室中),Centos 7(Centos 5也遇到了) )

从理论上讲,应该使用2016年之前发布的漏洞来解决整个实验室的问题,但是我并没有设置此类限制。

Laba(启用了非特权访问)


一般而言,实验室孔与pdfk中所述相对应。在获得非特权访问方面,您需要使用各种技术(包括对客户端的攻击),从损坏的计算机中收集密码并重新使用它们,启动暴力行为等。最糟糕的话题可能是SQL注入和盲注入-它们从未见过。

访问初始化算法随处可见:

  1. 枚举端口和服务
  2. Web的蛮力目录
  3. 定义产品和版本
  4. 利用搜索和修改

几台机器需要使用黑匣子编写自己的漏洞利用程序,但没有什么复杂的-LFI / RFI。最重要的是,我很高兴看到CTF类别中几乎没有汽车,里面有图片,里面还隐藏着图片,里面有zip存档,等等。

拉巴(特权升级)


对我来说,这是最有趣的部分,并且花费了我大部分时间(一开始)。

视窗


对于Windows计算机,我使用了这些拆分集,

但是在某些Windows计算机上,“内核”的所有漏洞都经过了特殊修补,因此我不得不弄清楚如何起床。各种口味,服务,初创公司,任务分散,已安装软件的汽车都有。安装的软件当然是一个很大的失败,因为 很明显,汽车已经准备好了,如果系统上仅安装了一个应用程序,那么您就可以通过它。

的Linux


对于Linux,当然,您始终可以使用内核漏洞,令人讨厌的脏牛可以在一半的计算机上工作,我使用的是此版本,尽管它挂在实验室中的几乎所有计算机上,但它成功创建了具有ssh访问权限的用户。

但是您几乎可以在任何地方都可以通过配置中的漏洞进行攻击,LinEnum可以您提供帮助,对于懒惰的linux-smart-enumeration

通常,在实验室中不值得滥用内核漏洞,如果要准备考试,最好使用配置漏洞,因为 考试中的所有机器都将使用新的内核和已安装的更新(至少我知道了这些)。

实验后的探索


我将后期开发的部分内容留给以后使用,但是在收集了所有密码并查看了所有数据库,配置文件和日志之后,您可以轻松地访问许多计算机(尤其是在非公共网络中)。

许多机器都打破了链条,了解这一点很重要,尤其是对于对客户的攻击而言,如果汽车被称为邮件,那么也许有人会像电子邮件客户端一样坚持使用它;如果是HELPDESK,则要去买票。

四大


实验室中有4辆汽车被认为是最复杂的,有些汽车建议将其放到最后,这些汽车是:疼痛,痛苦,Gh0st和谦虚。我从一开始就知道它们的存在,但是我并没有明确地逃避它们,也没有寻找它们。当我决定返回他们时,我已经四分之二了。

我对他们的印象:

  • 疼痛是一种很酷的汽车,在获得初始化壳和提升方面都非常复杂。
  • 痛苦-一个复杂的初始化过程,在多个阶段中,我在考试中得到了类似的东西。简单提升。
  • Gh0st-开始和初始化就像CTF机器一样,但是是整个实验室中最漂亮的增强功能之一。
  • 谦虚-可以说是实验室中最复杂的初始化过程,但是很简单。

一般而言,这些都是很酷的汽车,而且我几乎可以确定,如果您在实验室里把它们弄坏了,那么您会顺利通过考试,并且比普通考试更长的时间弄清了Humble。

我的最高职位包括:

  • Sherlock-几分钟后证明就可以了,您可以坐很长时间才能得到相反的结果。
  • beta在获得主要访问权限和升级(有限的bash)方面都是至关重要的机器。

实验结果


总的来说,实验室给人留下了很好的印象,我把所有的汽车(约45辆)都弄坏了。

总的来说,我记得很多不经常使用的东西。

考试准备


进入实验室的几天之前,我认为是时候报名参加考试了。在这里我错了,最好事先这样做。放假日的最近日期只有一个月后的2月23日(然后是上午9点)。

结论和设置为三个-如果您想在方便的时间参加考试并提前注册周末。

我还开始在实验室编写一份报告(如果要获得5分,我需要描述10辆汽车),报告的标准示​​例太聪明了,因此我开始使用此报告。对于详细的描述,我选择了一些有趣的汽车,或者选择了您立即扎根的案例。

我需要再拍摄10-15张屏幕截图,因此我建议在编写此报告时可以访问实验室。

考试准备。训练。二元主义


在考试中,组件之一是编写缓冲区溢出漏洞利用程序,它给出25分,而且,不知道如何快速好地进行考试,意义不大,值得一试。

好人已经整理了一套可以练习的软件。

我决定了大约7个片段,如果我在第一个片段上花了2个小时,那么实际上我在20分钟内就决定了第七个片段,这实际上是因为可以编写代码和输入命令。没有让我失望的算法:

  1. 我们正在使用字母A来调整秋天(在考试中,这一步已经为我们完成了)
  2. 寻找偏移量,通常通过pattern_create.rb和pattern_offset.rb
  3. 检查长度,标准地在正确的位置将A更改为B,然后在B后面插入很多C以查看有效载荷的可能大小,而无需跳入我们的缓冲区
  4. ( \x00, 99% )
  5. “jmp esp” ( , )
  6. ,
  7. ( 20 — \x90)

. .


在其中一个考试程序vraytaps中,我找到了这张照片:



该图片显示了hackthebox.eu上的哪些汽车,看起来像是来自考试的汽车(“笨蛋”汽车看起来根本不像,我建议您不要对其进行培训)。要激活独轮车,需要付费订阅(每月10美元,不要忘了立即取消)。

我花了8个小时决定在10台计算机上切换Windows和Linux。他认为这对我来说已经足够了,但是在这里,可能像缓冲区溢出一样,有必要实现自动化。这些汽车比考试中的汽车更简单,至少在特权提升方面(一些实验室的汽车副本,我不知道我从任何人那里借来的是谁)。

考试准备。训练。特权升级


您可以使用hackthebox.eu在同一台机器上进行训练,但是通常只要阅读vraytapy即可了解其中有哪些技术,这里有一些对您可能在考试中有用的所有技术的示例。

考试准备。组织部分


要通过考试,您需要:

  1. 外国护照(您的姓名必须用英语书写)
  2. 摄像头
  3. 稳定的互联网

最好有更多:

  1. 备用互联网(我使用手机)
  2. 一台备用计算机(我旁边有一台备用笔记本电脑,该笔记本电脑已完全配置为可以参加考试)
  3. 使用Kali的VM快照
  4. 带有Kali的VM的副本(我将一个副本放在硬盘驱动器上,第二个放在外部硬盘驱动器上)

考试!


该考试被认为是全日制(强制考试),因此它在所选时间之前15分钟开始。您连接到特殊的Web平台,浏览屏幕,通过文字聊天,他们开始向您询问任务和问题:

  1. 通过网络摄像头出示护照
  2. 表明没有人在房间里
  3. 提供连接的测试脚本结果

然后我有了一个文件,当我尝试使用Kali将新的最终用户包复制到虚拟机时,它掉了。我已经准备好了,回滚虚拟机,复制包,启动它,并开始等待早上9点。

我在9:01访问。

我有一个简单的行动计划:

  1. 开始服务编号
  2. 1小时内使汽车溢出
  3. 1小时内赚10分
  4. 在2小时内使第一辆车获得20分
  5. 在2小时内使第二辆汽车获得20分
  6. 3小时内赚25分

从我的计划中可以看出,我花了9个小时才通过考试,但是从一开始它并没有按计划进行:)我忘记考虑一个重要的阻碍因素-逐步写下报告中所有屏幕截图的全部内容。

我得到的最终结果如下:

  1. 缓冲区溢出-2.5小时。我损失了一个小时,因为 没注意到几个坏字符,还有30分钟的报告时间
  2. 10-30分钟内开车:10分钟骇客,20分钟萤幕撷取画面
  3. 20-2.5小时内的首辆车:1.5小时黑客攻击,40分钟屏幕截图和报告,20分钟休息时间
  4. 20-2小时内第二辆车:1.5小时黑客攻击,30分钟屏幕截图和报告。
  5. 汽车25-3.5小时:3小时骇客活动(两次休息),30分钟屏幕截图和报告

总的来说,考试比实验室有趣得多,这些漏洞都是最近的-2018-2019年。内核漏洞并不是到处都有增强功能。

我坐了最长的时间,等待特权升级,所有未特权的炮弹在10到30分钟内就收到了。

考试做了许多错误的尝试,不会成功。如果所有内容都可以轻松地用于初始化外壳程序(例如,尽管服务本身在Windows 10上运行,则可以利用Windows XP SP2上的缓冲区溢出漏洞利用此漏洞),那么在升级中,我几次陷入了这些错误的道路。这里的主要目的是及时告诉自己,此向量值得更改并选择一个新向量。

11小时后,我完成了考试,打破了一切,去喝了几品脱啤酒(只是几杯啤酒,从第二天起,我们仍然必须写一份正式的精美报告)。

撰写和发送报告


我从实验室模板所在的同一存储库中获取了模板,并在4个小时内填写完毕

然后开始从哪里发送模板以及如何发送模板开始了。首先,您需要使用带有密码的7z对其进行加密,密码不是随机的,并且您的ID在系统中(5位数字,它在CPU上运行0.3秒)。然后,我搜索了很长时间的信息,以将该报告放在实验室的同一存档或其他存档中(答案:您需要将其放在同一存档中)。然后我遇到了一个事实,即在7z归档文件中用于设置密码的格式-p标志,之后必须将密码写在一起,即-pPassword之类的东西。实际上,所有步骤均在指南中进行了说明,您只需要能够查找它们即可。

最终的存档必须上传到站点,获取链接并将此链接发送到特殊邮件!为什么在2020年遇到这样的困难对我来说是个谜。

几个小时后,您将收到一封回复信:“我们已收到您的链接,但未验证它是否具有常规存档,已解密并且包含必要的数据。而且我们将在10个工作日内报告考试结果。”


考试刚好一周,即3月1日,星期日,我收到一封欢乐的信,说明我已正确编译了存档:



之后,我填写了用于向我发送物理证书和OSCP认证卡的数据。

谁需要此认证?


我得到以下列表(按收据的意义和此证书的要求排序):

  1. 4-5年级的学生。对于他们来说,这是一个非常酷的做法。
  2. 那些决定从相关行业转向安全的人。一切都描述得很好,有很多例子,有一些东西需要学习。
  3. 雇主。该证书表明某人知道某事,并且知道如何用双手做某事(在我们的空缺职位中,我们将此表示为加号)。
  4. 想要刷新/测试他们知识的行业人士
  5. 经验丰富的测试人员。也许漂亮的外壳会让他们对雇主变得更加有趣。

进一步计划通过OSWE(进攻安全网络专家)。对于我来说,他比OSCE(进攻安全认证专家)更有趣。对于那些对阅读信息安全领域的各种认证感兴趣的人,我们写了一篇单独的文章

More articles:


All Articles