HackMD
OSEP (Evasion Techniques and Breaching Defenses (PEN-300) 心得分享
前言
2020年退伍前考了一張OSCP,想說退伍後如果要對企業的內網做檢測,自己的技能應該不夠充足,
雖然有拆惡意程式的經驗和一點紅隊演練的經歷,但還是覺得不太夠。
這張證照有趣的地方就是,教材教你的各種繞過方法,只要再加工一下,就可以繞過Windows Defender了,雖然繞過了,但是隔了一個月後,又被殺掉了 囧。
OSEP 簡介
OSEP 是 Offensive Security Experienced Pentration Tester 的縮寫,這門課也是 Offensive Security 今年把OSCE 拆分成3張的其中一張證照,OSWE、OSEP、OSED,而OSEP 是一張涵蓋比較常見的攻擊手法和框架的一張證照,其中也有介紹及拆解 Cobalt Strike 的 Payload 和還原,AD 物件權限提升、Office 巨集、PowerShell AMSI Bypass、C# Shellcode Loader、Process Injection、Bypassing Antivirus、Linked SQL Server Attack,等攻擊手法。
推薦有在做威脅獵捕或是想知道惡意程式怎麼使用 Windows API 和攻擊者進到内網後的手法
雖然不是所有攻擊手法,但是也算是比較有系統性的把現在已知的攻擊手法統整的一套課程,對於惡意程式這塊一直撞牆的人和防禦方有很大的幫助。
報名及教材
因為LAB的關係所以價格上只有60或90天可以選擇,不過推薦90天,課程教材內容有很多需要直接實作驗證的東西。
如果之前有考過OSCP,直接延用之前的帳號。
不過價錢頗貴 QQ
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
課程大綱
大概 700 頁 pdf 教材和19小的影片教學,跟著影片動手做,有時候自己看章節的時候反覆驗證教學影片中的內容還蠻重要的。
Operating System and Programming Theory
主要介紹會使用到的作業系統和程式語言及WINDOWS API 和相關註冊表,這些東西在後面章節都會使用到
Client Side Code Execution With Office
這章主要介紹從一般 Office Dropper 到使用 VBA invoke Windows API 塞入你的 Shellcode 執行,及C#編譯時會有暫存檔案產生到把暫存檔案消除的方法
Client Side Code Execution With Jscript
這章開始就會開始使用 C# 一步一步做出 Shellcode Loader
VirtualAlloc、CreateThread、WaitForSingleObject,比較常見惡意程式毀使用到的 Windows API
和在 Powershell 中使用 DLL 調用編後的 Shellcode Loader
Process Injection and Migration
這邊主要介紹為Process Injection的一些要件,及那些場合要使用那些Windows API及介紹Process Hollowing的原理。
這章的練習也不錯,複習PE結構和映射到記憶體後的狀況和如何取代VirtualAlloc和WriteProcessMemory,達到 Mapping shellcode 目的
(一查發現網路上很多 XDDD)
如果想要瞭解更詳細可以參考 aaaddress1 大大的書(大推)。
Introduction to Antivirus Evasion
這邊講解當產生惡意程式後靜態特徵去除,用凱薩加密、XOR,和時間差上的Shell code,還有抹掉 Word 上的巨集相關資訊及使用 VBA 混淆。
但因為它的環境用小紅傘比較舊的版本,所以我在自己建立的環境下一下就被殺掉了。
Advanced Antivirus Evasion
這邊主要開始介紹 Antimalware Scan Interface AMSI 在微軟的防禦架構面是如何防禦,以及用 Frida 抓幾個比較關鍵的函數像是 AmsiInitialize,AmsiOpenSession、AmsiScanBuffer、AmsiScanString,等在 Powershell 中如何 hot patch 掉這些函數讓回傳的值失敗,藉此繞過檢查
如果懶得用可以參考這個網址,直接產生 bypass XDD
amsi.fail
不過在行為分析上這些都被看光光了 QQ
Application Whitelisting
從白名單繞過,繞過微軟內建的AppLocker的規則,資料夾權限檢查,Powershell 語言模式繞過,自定義 powershell Runspaces和反安裝的方式去執行惡意程式,還有釣魚郵件常見的MSHTA
Bypassing Network Filters
這一章主要介紹一般,攻擊框架中所產生的惡意程式所用的傳輸的加密憑證,一般會直接被抓到憑證特徵,所以用自己產生的憑證就有可能繞過檢查。
Linux Post-Exploitation
這章主要提到的是 Linux 環境下如何用內建的方式做 Keylogger和簡單的繞過卡巴的 Linux 檢查
Kiosk Breakouts
如果有使用過Remote APP 的管理者或是剛好有測試過的人可以理解的章節,因為有時候可以莫名其妙叫出那台Remote APP Server 的終端或是看到其他使用者的資料
Windows Credentials
此篇章主要說 HIVE及Lsass 記憶體要如何取得,不過Windows 2012 以後有 Credential Guard ,即便你有Debug Privilege 也不能下載 lsass,那怎辦?
有這個 PPLdump
只要你可以取得System 以下這些版本 通通可以取得 lsass 的記憶體,還不趕快 patch XDD
| Windows version | Build | Edition | Arch | Admin | SYSTEM |
|---|---|---|---|---|---|
| Windows 10 20H2 | 19042 | Pro | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 10 20H2 | 19042 | Pro | x86 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 10 1909 | 18363 | Pro | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 10 1507 | 10240 | Educational | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 10 1507 | 10240 | Home | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 10 1507 | 10240 | Pro | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows Server 2019 | 17763 | Standard | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows Server 2019 | 17763 | Essentials | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows 8.1 | 9600 | Pro | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
| Windows Server 2012 R2 | 9600 | Standard | x64 |
Image Not Showing
Possible Reasons
|
Image Not Showing
Possible Reasons
|
Windows Lateral Movement
這章主要介紹 Windows 橫向移動中,RDP session、RDP 開 Shell、偷取RDP明文帳號密碼、Tunnel,改對方機器服務的方式帶起惡意程式。
Linux Lateral Movement
這章主要接介紹Linux Server 中的 枚舉 SSH 中的被密碼加密的 key file ,劫持 SSH 的 ControlMaster、Ansible Playbook 及Kerberos on Linux 問題等
Microsoft SQL Attacks
一般 SQL Server 的低權限使用者其實都可以使用 xp_dirtree 、xp_filexist 等相關功能,
這時候攻擊者就可以在 Linked SQL Server 上執行 NTLM relay,藉由偽冒對方的SMB,來竊取NTLM,進而達到竊取Linked SQL Server 的 SAM檔。
Active Directory Exploitation
主要介紹 AD 中物件的權限,及那些權限可以被權限提升和枚舉AD中的相關物件、樹系。
通常為擁有WRITE_DAC、WRITE_OWNER、GENERIC_ALL的權限可以都是可以修改AD物件中的屬性。
這種權限常見在 Exchange Server 及Share Pointer 中
此篇章應該就是整篇的重點,其中介紹群組、使用者、電腦之間的委派的安全議題。
其中又以模擬 Share point,及 Exchange Server 中委派的安全問題
Kerberos委派攻擊
Combining the Pieces
這章主要是將前面的章節的攻擊手法串聯起來打一次
Challenge LAB
LAB 總共有六台,和 OSCP 一樣要取得 local和proof
個人覺得一定程度上已經模擬大部分的企業環境,大部分的考試內容都是從LAB變形出來而已,並不會變化太大,但是LAB出現的安全問題,其實大部分的企業内網可能都會有,像是本地端的管理者密碼都相同,或是根本沒有變更過,導致可以用相同的NTLM去嘗試其他機器。
資源
Offensive Security Experienced Penetration Tester (OSEP) 簡介
後記
-
遇到今年疫情爆發,剛好有三個月的練習時間,這三個月的LAB練習可以說是很扎實阿,覺得看惡意程式有稍微輕鬆一點了 XD
-
考試時間48小時,在度過12小時的瘋狂提權後,終於拿到最終的Secret,由於剩下36小時,把剩餘的時間做更完整的截圖及報告的撰寫。
-
在學習的過程中,總會發現新的漏洞可以適用在考試的LAB裡面( 因為是 Windows 嘛 : )像是很夯的印表機弱點 Printnightmare,或是以 EfsRpcOpenFileRaw 攻擊為基礎,利用模擬system token 都能直接讓 Windows 淪陷。可以想像一下你的 IIS 主機服務都會有 SeImpersonatePrivilege 的權限。如果被上傳Webshell,就可以直接變 System : )
-
強烈建議可以試試 BloodHound 針對不同的網域使用者及機器做物件的收集,可以發現很多看不到的委派權限。
-
感謝 billy 大大對於 LAB中的問題不厭其煩地解說。
-
考完後約兩天就收到通過通知 效率變快了!
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
- The image file may be corrupted
- The server hosting the image is unavailable
- The image path is incorrect
- The image format is not supported
