R4WSEC

r4wsec

Created and published on 7 April 2021

Author: Sebastián Castro @r4wd3r

(ES) PEN-300 / OSEP Offensive Security Experienced Pentester Review

¿OSEP?

Desde hace ya un tiempo había querido ponerme a prueba con uno de los cursos y certificaciones ofrecidos por la reconocida Offensive Security. Reconocida por sus famosas certificaciones OSCP (Offensive Security Certified Professional) y OSCE (Offensive Security Certified Expert), la industria y la comunidad siempre ha catalogado sus cursos, entrenamientos y certificaciones entre los más exigentes para aquellos que nos apasionan estos temas de hacking e infosec.

El año pasado estaba listo para entrar en la onda "Try Harder" por primera vez con la certificación OSCE y su laboratorio Cracking The Perimeter (CTP). Sin embargo, justo antes de registrarme, encontré un comunicado oficial en donde se anunciaba el retiro/sustitución del curso al que pensaba registrarme: Retiring CTP and Introducing New Courses

tl;dr, crearían una nueva certificación llamada OSCE3 que sería otorgada a quienes obtuvieran 3 nuevas certificaciones avanzadas:

Estos 3 cursos sustituirían a la relativamente desactualizada OSCE / CTP y segmentarían sus temarios en Explotación Web, Pentesting Avanzado y Desarrollo de Exploits en Windows User-Mode, actualizando sus contenidos al 2020-2021.

Al enterarme de esto, decidí esperar un poco más... Y más o menos por allá en octubre, Offensive Security lanzó su curso y certificación Evasion Techniques and Breaching Defenses (PEN-300 / OSEP). Luego de revisar su syllabus y encontrarlo sumamente interesante, pagué el voucher de 1299 USD e inicié el laboratorio de 2 meses. Tras conectarme a diario a la VPN del curso, hacer cada uno de los retos/extra-miles y actualizar mi wiki personal con nuevo contenido, presenté el exámen de 48 horas. Hace unos días, recibí el tan esperado correo en donde Offensive Security me certificaba como uno de sus primeros Experienced Penetration Tester.

Como es una certificación relativamente nueva y aún no existen muchas reviews en internet (al momento de escribir esto no encontré ninguna en español), decidí describir mi experiencia y algunas recomendaciones para así ayudar un poco a todos aquellos que están interesados en convertirse en un Offensive Security Experienced Penetration Tester.

¿Qué es PEN-300 / OSEP?

PEN-300 es el nombre del curso Evasion Techniques and Breaching Defenses - Advanced Pentesting Training. El curso provee a sus estudiantes una gran parte de los conocimientos necesarios para poder obtener la certificación Offensive Security Experienced Penetration Tester (OSEP). Para adquirirla, los estudiantes deben presentar un exámen de 48 horas en donde deben ejecutar una prueba de penetración caja negra contra una red corporativa simulada con diversos sistemas de seguridad que dificultan aún más el compromiso de los objetivos.

Se deben obtener >=100 puntos capturando las banderas en cada máquina comprometida o cumplir el objetivo de la descripción del exámen para aprobarlo.

Aquellos afortunados, deberán primero sobrevivir a la ansiedad que les causa el tiempo de revisión del reporte (3-10 días hábiles). Luego, recibirán un correo en donde se confirma que ya son oficialmente Offensive Security Experienced Penetration Tester (OSEP). Podrán entonces reclamar su certificación virtual a través de credly.com (una como ésta) e ingresar sus datos para obtener la versión en físico.

Offensive Security afirma que, quienes ostenten la certificación, "tienen la experiencia necesaria para dirigir pruebas de penetración contra sistemas protegidos (hardened), han demostrado su habilidad para identificar oportunidades de intrusión y ejecutar ataques avanzados y organizados. También pueden evadir defensas de seguridad, ejecutar vectores de ataque avanzados sin ser detectados y comprometer sistemas configurados con seguridad como prioridad".

¿Debería tomar el curso PEN-300?

PEN-300 NO es un curso introductorio. De acuerdo a la descripción de Offensive Security, el curso es avanzado y supone un conocimiento previo del estudiante similar al que tendría un Offensive Security Certified Professional (OSCP), por tanto recomiendan obtener esta última certificación antes de inmiscuirse en el mundo táctico l33t que PEN-300 propone.

En lo personal, pienso que ésto no es un requisito. Como mencioné más arriba, OSEP es la primera certificación que obtengo de Offensive Security, y, por tanto, no ostento el título de OSCP.

Recomiendo, entonces, para quienes quieran aprovechar al máximo el entrenamiento PEN-300 (y aumentar sus posibilidades de ser todos unos Experienced Penetration Testers) que antes consoliden sus conocimientos en pentesting y desarrollen sus habilidades en:

Powershell y C#
Linux y su línea de comandos
POWERSHELL Y C#!!!
Scripting en el lenguaje que prefieran (Python, Bash, Perl, etc.)
Identificación, enumeración, explotación y post-explotación de vulnerabilidades. (Saber correr un nmap, explotar una SQLi, escalar privilegios, etc.)
Ya dije Powershell y C#?
Ataques de Microsoft AD (MSSQL Attacks, Golden Tickets, Kerberos Delegation, etc.) y uso de herramientas de enumeración como ADModule, PowerView y BloodHound, entre otras
Sistemas Operativos Windows y Linux (Win32 API, sistemas de archivos como NTFS, etc.)
Explotación y post-explotación en Windows (mimikatz, pass-the-hash, SeImpersonatePrivilege, robo de access tokens, etc.)
Frameworks Command & Control C2 (Metasploit, Empire, Coventant, etc.)

¿Qué aprendo en PEN-300?

El contenido del curso, el material y los laboratorios vale cada centavo. El temario de PEN-300 es particularmente variado e incluye TTPs que van desde la creación de payloads sigilosos para campañas de phishing, hasta tácticas de evasión de controles de seguridad en kioskos públicos (si, de esos que uno ve en los lobbies de los hoteles).

Aquí está el syllabus completo. Para los perezosos, en resumen, los temas de estudio incluyen:

Creación semi-manual de malware sigiloso para ejecución de código del lado del cliente.
Técnicas de inyección de código en procesos legítimos.
Evasión básica y avanzada de Antivirus
Tácticas de vulneración de listas de accesso de aplicaciones (Application White/Allow-Listing)
Explotación y Post-Explotación en sistemas Windows y Linux
Evasión de controles de seguridad en red (DNS, Web Proxy, IDS/IPS, etc.)
Ataques en dominios y bosques de Microsoft Active Directory

Entre las cosas que quisiera resaltar de PEN-300 es su enfoque anti "press-to-hack". Por el contrario, el curso propone una metodología DIY (Do It Yourself) para la gran mayoría de temas. Claro, algunos temas como programación de shellcode se hacen de manera automática por el enfoque del curso, no obstante, PEN-300 provee bases esenciales para desarrollar herramientas de pentesting personalizadas, sigilosas y, en algunos escenarios, indetectables.

¿Cómo es el exámen para obtener el título de OSEP?

Como mencióné antes, el exámen dura un máximo de 48 horas (47h y 45m para ser exactos). Luego de estas 48 horas, el aplicante tendrá 24 horas para enviar el reporte en donde se evidencian todos y cada uno de los pasos necesarios para comprometer los objetivos.

Existe una guía para el examen en donde se especifican varios detalles sobre el reporte, el modo de notificar las banderas obtenidas, descripciones detalladas de los screenshots, entre otros. El objetivo para pasar consiste en obtener el contenido del archivo secret.txt o acumular >=100 puntos.

Como describe la guía, hay varios caminos para llegar al objetivo. En mi caso, fue suficiente extraer los contenidos de la bandera final para aprobar. Luego envié un reporte de ~120 páginas con la documentación de cada procedimiento necesario para comprometer desde la primera hasta la última máquina.

Los temas que se evalúan involucran pentesting básico, ejercicios que se enseñan en el material o en los challenges de práctica y puede que algunas "mañas" que ni siquiera en internet pueden encontrarse. Así que, si bien el exámen evalúa en grandes proporciones el contenido del curso, hay curveballs que pueden ser difíciles de manejar si no hay una preparación adecuada.

El exámen es monitoreado (proctored). Así que quien quiera presentarlo debe presentarse 15 minutos antes del inicio para confirmar que quien lo presenta es quien dice ser. De igual manera se pedirá compartir la pantalla (o pantallas) y la cámara durante la evaluación.

Lo sé... Hackear con ropa disminuye nuestras capacidades de pwning pro ninja en un 75.371%, pero durante el exámen habrá un monitor de Offensive Security mirándolos por la cámara. Así que al menos usen pantalones ;)

¿Alguna recomendación para el curso y el exámen?

Varias. Nunca antes había presentado un exámen de Offensive Security, así que tal vez incluya algunas recomendaciones que seguramente están en otras guías.

Prepárense antes del curso. En la sección ¿Debería tomar el curso PEN-300? mencioné algunas de las cosas que, a mi criterio, son esenciales para entender todos los temas del curso y no fallar en el intento. Si ya son OSCPs, pueden omitir algunos temas.
Creen su propia wiki. Es ESENCIAL que tengan sus notas organizadas en un lugar accessible. En lo personal, utilizo markdown para mi wiki personal y un repositorio en GitHub para que esté disponible desde cualquier lugar y dispositivo. Aunque muchos usan CherryTree para tomar sus notas, esta herramienta open source no es multiplataforma. Prefiero usar Joplin que también es open source, basada en markdown y permite acceder a las notas desde varios dispositivos (Está disponible para Windows/macOS/Linux y Android/iOS).
Estudien el PDF y los videos. Hay cosas que están en el PDF y que no están en los videos, y viceversa.
Hagan los ejercicios y los challenges. El material de PEN-300 es de altísima calidad, y los ejercicios que propone cada módulo ayudan a entender mejor cada uno. En lo posible, no dejen de hacer los extra-miles ni los challenges. Pueden ser muy útiles para el exámen :)
Diligencien el reporte a medida que van haciendo el exámen. Offensive Security propone una plantilla en .doc para éste. No obstante, me parece más cómodo hacerlo en markdown con el buen Joplin. Y para motivarse aún más a usarlo, existe una plantilla creada por el community manager de Offensive Security TJ Null, para así ahorrarnos aún más el trabajo. Aquí les dejo su plantilla: TJ Pentest Template.

Joplin

et voilà!

Notas finales

El curso PEN-300 no decepciona. Offensive Security logró constituir un entrenamiento avanzado para aquellos profesionales de la seguridad de la información interesados en desarrollar sus habilidades de sigilo, evasión y ruptura de sistemas defensivos en entornos corporativos.

Aunque exigente, la travesía para ser un Offensive Security Experienced Penetration Tester (OSEP) amerita el esfuerzo. La experiencia es divertidísima, apasionante y educativa, así que no puedo irme sin antes recomendarlo una vez más a todos aquellos que quieren desarrollar sus habilidades técnicas de pentesting a un nivel más avanzado.

Happy hacking futuros OSEPs ;)

¬#r4wd3r'