前言
CRTO是英国Zero-Point Security的一个关于内网渗透相关的认证,内容覆盖了整个红队参与的过程,你可以从这里查看到这个课程的官方介绍:https://courses.zeropointsecurity.co.uk/courses/red-team-ops
课程亮点包括:
- 永久维护并且可以阅读的课程资料
- 使用Cobalt strike作为C2贯穿整个课程的内容
- 覆盖了红队的整个攻击过程,教授的模块包括以下内容(这里我引用了这位前辈的翻译):
1. 课程介绍
2. C2
3. 外部信息收集
4. 钓鱼攻击
5. 主机信息收集
6. 权限维持
7. 提权
8. 域内信息收集
9.横向移动
10.用户凭证收集和模拟
11.关于破解密码的建议
12.Cobaltstrike与MSF的联动
13.内网挂代理
14.数据保护API
15.Kerberos协议
16.内网证书服务
17.组策略
18.访问控制列表
19.MSSQL攻击
20.域信任
21.关于本地管理员密码的一些攻击方法
22.跟杀软友好共处的一些方法
23.敏感信息提取
CRTO普遍被认为是OSCP以后,进阶到OSEP的一个很好的过渡,但是我认为就算是没有OSCP,对于学习CRTO也不会有太大的影响。当然通过了OSCP会在上面的某些模块有很好的基础,比如外围信息收集和权限提升模块,OSCP在这方面要复杂的多。但是因为这主要是内网相关的认证,因此课程的精华都在内网相关的内容。
截止到目前为止,CRTO单单考试的价格是99英镑,课程+lab+一次考试机会的价格是399英镑。我报考的时候恰逢英女王登基70周年,因此拿到了官方20%的折扣,没想到有生之年还能薅到女王羊毛。
什么是渗透测试,什么是红队?
这个小标题起的有点大,但是学习CRTO这个课程必须要对这些概念作出区分。我以下说的话可能充满了我主观片面的想法,而且随着我以后知识和技能的积累我可能会不断更新对这两个概念的认识。不过反正说错了也不用罚站。
渗透测试和红队在技术和工具上的使用有很大的重合性,但是渗透测试的动作对于攻击和防守方都是已知的,红队则更加注重行动的隐秘性。
CRTO一直在强调一个叫OPSEC的概念,OPSEC是一个军事术语,全称Operations Security,直译就是行动安全,最先是美国军队提出的一套行动纲领。关于OPSEC的一篇科普文可以参考这篇OPSEC与查水表。如果你读完上面的内容还是很懵逼,那用大白话来说OPSEC就是,静悄悄的进村,打枪的不要。
我认为红队更加符合一般大众对黑客这一概念的影视形象:隐秘,技术强大。
渗透测试与红队之间的根本区别就是OPSEC。
课程和LAB
课程为在线文档的形式,某些模块会配有视频。我首先通读了一遍课程的内容,并且做了详细的笔记。然后打lab的时候又读了一遍课程,并且做了wp。
需要注意,课程对于某些概念的介绍是点到即止的,你可能需要加餐自己在做些研究才能更好理解课程的内容,这个似乎每个人的基础而定。而且对于有些lab的实验,单单按照教材的步骤是无法复现的,需要配合视频才能成功复现。这个是我对这个课程稍微不太满意的地方。尽管如此,终究瑕不掩瑜,这个课程扩展了很多我以前不清楚的内网渗透知识。
如果是我一样刚接触内网渗透不久的朋友,我建议一定要花时间弄清楚kerberos这个协议,内网大多数攻击方法都是base于对这个协议各个步骤的利用,最好是拿纸和笔对协议的每一步画一下,弄清楚协议的每一步都发生了什么。
如果购买了课程的套餐,在lab上会有40小时的实验时间,应该说这对于完成所有lab的实验是足够的,你可以随时停止自己lab的时间。一个建议是,最好在早上或者下午做实验,晚上普遍反映会比较卡。
lab时间可以通过购买的方式延长,一个小时是1.5英镑,不算太贵,我完成了所有lab实验以后还另外购买了10个小时去复现一些我觉得掌握不够好的模块。
Exam
考试为48小时内拿到8个flag里的6个就算通过。48小时可以在四天之内随意分配,而且你可以像lab一样随时停止,应该说比起隔壁offsec家的考试来,这就非常友善了。
我在国庆假期的第一天开始了我的考试,我个人认为考试的难度要比lab要难一些,我在15个小时内拿到了7个flag,然后在最后一个flag又花了10个小时,我相信我找到了正确的方向,但是我始终无法在这个基础上再进一步,此时国庆假期已过去了一半,摆在我面前现在有两个选择,我要么死磕这个flag直到考试结束,要么用剩下的时间陪女朋友,最后在荣誉和爱情面前,我毅然选择了后者。
应该说前面7个flag我做的还算顺利,第8个flag我姑且认为是作者要我保持谦虚,留给了我一个进步的空间。
关于通过考试我有几个提示:
- 第一个提示来自于CRTO的作者:
在考试之初花点时间对CS进行配置,这可以为后面的工作节省大量时间。
第二是在成功预约考试以后,会有一份Threat Profile文件,一定要仔细阅读理解这个文件。
第三是不要依赖单一的某个工具做一些事情,考试的是封闭的网络环境,你无法传工具到lab里。提供给你的工具也不会像打lab时那么多,但是绝对足以通过考试。比如考试不可以使用Bloodhound,但是基本的PowerView,mimikatz,Rebuse还是有的,不用担心。
另外,如果你拿到了第7台机器的system权限但是却无法在管理员桌面上找到flag7.txt,请在考试面板重启AdminiBox,这个问题浪费了我几个小时的考试时间,这个考试环境的问题我已与官方邮件确认。
资源
我在备考时使用了以下的资源:
Tryhackme的
Red Teaming路径,里面的练习覆盖了CRTO课程的各个方面:https://tryhackme.com/pathsTryhackme的
holo房间,尝试用CS完成里面的内容:https://tryhackme.com/hacktivities这个关于内网相关技术的的总结博客:https://casvancooten.com/posts/2020/11/windows-active-directory-exploitation-cheat-sheet-and-command-reference/
最后
CRTO无论是备考还是考试期间,总体上来说都比较轻松,不会像OSCP一样极度压榨你的时间,女朋友/老婆不会有太大的情绪,不会造成家庭矛盾。我在学习期间收获颇多,因此我强烈推荐这个课程给一些希望红队入门或者在OSCP以后希望加深对域渗透认识的朋友。
