Contents

🎓 RETEX Certification RTO (Certified Red Team Operator)

Contexte

Le projet initial de floppy (Juillet 2022), en plus de participer aux CTF, Ă©tait de pouvoir s’entraider et se motiver Ă  passer l’OSCP. Nous avions pour ce faire, dĂ©fini une liste de box HackTheBox Ă  faire avant de prĂ©tendre passer l’OSCP.

Entre temps, nous avons dĂ©cidĂ© de faire le prolab Dante sur HackTheBox avec Pezzz et 0xblank. Pendant que nous passions ce dernier, une offre pour le blackfriday est apparue sur le site de ZeroPointSecurity, permettant d’obtenir la CRTO Ă  -20%.

Nous avions entendu parler de cette dernière via xThaz, qui a d’ailleurs fait un excellent article sur le sujet : https://xthaz.fr/posts/rto/ et nous Ă©tions très intĂ©ressĂ©s par ce qui tourne autour de la RedTeam. Ni une ni deux, nous l’avons achetĂ©e pour la passer après Dante.

Pourquoi la CRTO

Personnellement, ces trois points ont motivés mon achat :

  • AcquĂ©rir une base solide au niveau des pratiques RedTeam sur laquelle je pourrais ajouter d’autres compĂ©tences par la suite
  • AmĂ©liorer mes compĂ©tences en environnement Windows (Dante Ă©tait bien mais pas spĂ©cialement axĂ© sur Windows)
  • L’utilisation de CobaltStrike pour tester les fonctionnalitĂ©s qui ne sont pas disponibles sur les C2 opensource

Je ne fus pas déçu.

La théorie

Le cours est divisé en 28 thématiques que vous pouvez retrouver ici : https://training.zeropointsecurity.co.uk/courses/red-team-ops.

L’objectif du cours est de couvrir l’ensemble de la chaine de compromission : de l’accès initial Ă  l’exfiltration en passant par l’Ă©lĂ©vation de privilèges ou encore le pivoting.

L’avantage du cours est qu’il permet de comprendre pas Ă  pas, sans avoir des compĂ©tences trop poussĂ©es, le fonctionnement et les mĂ©thodes Ă  mettre en oeuvre dans le cadre d’un engagement RedTeam.

De plus, le cours est fait Ă  partir du scĂ©nario du lab, c’est Ă  dire que toute les manipulations dĂ©montrĂ©es dans le cours sont rĂ©plicables sur le lab d’entrainement.

La pratique

Le lab est accessible via un navigateur et non via VPN comme cela peut ĂŞtre le cas pour l’OSCP ou encore Dante. Cela peut faire peur au dĂ©but mais j’ai personnellement eu aucun problème de connexion. Les outils sont prĂ©-installĂ©s, il n’y a besoin de rien de plus que ce qui est dĂ©jĂ  disponible (et mĂŞme si on le voulait, on ne peut rien tĂ©lĂ©verser dans le lab).

Le nombre d’heures disponibles pour s’entrainer est, Ă  mon sens, suffisant : 40 heures. S’il venait Ă  manquer des heures il est possible d’en acheter de manière supplĂ©mentaire directement sur la plateforme au tarif de 1,50 livre / heure.

Le lab permet de mettre en pratique les notions vues dans le cours sur les 17 machines disponibles. Comme Ă©voquĂ© prĂ©cĂ©demment, le cours est basĂ© sur le lab pour faciliter l’apprentissage.

Se préparer

Je me suis prĂ©parĂ© de la sorte pour l’examen :

  1. Première lecture du cours avec prise de notes
  2. Quelques manipulations sur le lab (sans Defender d’activĂ©)
  3. Quelques manipulations sur le lab (avec Defender d’active)
  4. Préparation de mes kits et malleable C2

Afin de gagner du temps j’aurais pu faire la première lecture du cours en mĂŞme temps que la première itĂ©ration du lab (sans Defender). En effet, mes notes m’ont que très peu servi Ă©tant donnĂ© que le cours est accessible pendant l’examen.

Cependant, j’ai passĂ© pas mal de temps Ă  prĂ©parer mes kits pour Cobalt Strike (Artifcat, Resource, Mimikatz et Elevate) ainsi que le malleable profile. Ils sont très importants pour la rĂ©ussite de l’examen Ă©tant donnĂ© que c’est eux qui dĂ©termineront si vous allez faire sonner Defender ou non.

L’examen

Avec l’achat de la certification, une tentative de l’examen est offerte. J’ai donc pu commencer le mien le 10/05 vers 11h. L’examen est rĂ©servĂ© sur 4 jours avec 48 heures de lab maximum. Cela permet de l’apprĂ©hender de manière sereine et de pouvoir se reposer convenablement pendant.

Après avoir correctement setup mon Cobalt Strike je me suis mis en quĂŞte de compromettre les diffĂ©rentes machines du lab. J’ai perdu beaucoup de temps entre le flag 3 et 4 sur quelque chose d’inutile que j’aurai pu Ă©viter en faisant plus de pauses.

Finalement, il m’a fallu un peu plus de 24 heures pour obtenir les 6 flags nĂ©cĂ©ssaires sur les 8 disponibles puis j’ai arrĂŞtĂ©. https://md.floppy.sh/uploads/d19e8929-7f44-4c37-8f99-68b38b979c75.png

La plus grande difficultĂ© que j’ai rencontrĂ© Ă©tait Defender qui est tatillon (Ă  juste titre) sur certaines choses.

drawing

Ce que j’en ai tirĂ©

Selon moi, la CRTO a rĂ©ussi Ă  trouver le juste millieu entre apprentissage et devoir try hard pour trouver une solution. J’ai appris Ă©normĂ©ment de choses surtout au niveau de l’environnemnt Windows (Trust, DPAPI, Kerberos, etc.). Pour la suite, je ferais très probablement la CRTO2 après avoir travaillĂ© sur des aspects techniques oĂą j’ai encore quelques lacunes (C#, bas niveau, etc. ).