Introducción

El pasado 17 de noviembre recibí el aprobado de la CRTP. El objetivo de este post es compartir mi experiencia personal tanto en la preparación como en el examen.

¿Por qué la CRTP?

Siendo sinceros esta certificación me parce la mejor para meter el pie en AD, es la primera certificación de Altered Security (AS) para este campo, y por lo tanto es beginner friendly lo que no significa que se quede en la base. Se tocan los fundamentos de AD y como se pueden abusar para comprometer un AD totalmente parcheado.

En mi caso decidí prepararla para tener claro los fundamentos del pentesting en entornos AD y tener una base sólida a la hora de enfrentarme a la OSCP. Además estaba buscando un certificación que me alejase un poco de entornos WEB donde tanto a nivel laboral como personal he tocado demasiado y tenía ganas de ampliar mis conocimientos en otras ramas.

Conocimientos Previos

Mis conocimientos eran prácticamente 0 en entornos AD, quitando alguna máquina de HTB donde he tocado algo de AD básico, cuando dicen que la CRTP es beginner friendly es acertado.

Los conocimientos más importantes para aprobar el examen en la versión actual son los siguientes:

  • Metodología de Reconocimiento afianzada.
  • Tener claro tanto la Escalada de Privilegios como el Movimiento Lateral en entornos AD.
  • Entender los fundamentos en AD y como se pueden explotar.

No se necesita más, es clave entender como funciona por detrás Kerberos, el funcionamiento detrás de un TGT, TGS y como estos se utilizan en la red de AD.

Preparación

Recursos AS

Slides + Lab

Para preparar la certificación hay dos modalidades ofrecidas por AS, una donde te lo preparas por tu cuenta, es decir, tienes el acceso al Laboratorio, slides, discord, etc… No deberías de tener ningún problema ya que AS ha preparado una serie de Learning objectives los cuales van asociados a determinados conocimientos/ataques. A medida que vas avanzando en la slide se te proponen los retos para que pases a las manos, por lo que no se vuelve nada pesado.

Bootcamp + Slides + Lab

La segunda modalidad es a través de los bootcamps donde el propio Nikhil Mital (un crack) realiza 4 video-sesiones de unas 4 horas aproximadamente. En estas sesiones se cubren todos los conocimientos necesarios para el examen explicados en detalles + algunos extras, además tienes la oportunidad de hacer preguntas en directo. En mi caso me encontraba en un momento donde se realizaba el bootcamp pero no tenía el tiempo para cursar la cert, sin embargo, compré el bootcamp y al finalizar me descargue las sesiones para poder hacerlo más tarde.

Os Recomiendo al 100% el bootcamp, Nikhil hace las clases muy amenas y sabe muy bien como transmitir los conceptos a beginners, y si alguien tenía dudas el nivel de ingles es perfecto, totalmente comprensible.

Laboratorio

El laboratorio es fantástico la verdad, a día de hoy el mejor formato al que me he enfrentado.

Puntos fuertes

  • Te permite practicar todos los ataques.
  • No es un laboratorio compartimentado por objetivos, donde cada objetivo te obliga a desplegar un lab diferente, está todo comprendido en el mismo.
  • El equipo de soporte de AS es IMPRESIONANTE, cualquier problema que tengas durante tus prácticas te la resuelven prácticamente de forma inmediata 24/7.

Puntos débiles

  • El lab es compartido, es decir, tienen acceso unos 25 estudiantes por LAB, esto introduce varios problemas.
    • Es posible que alguien realizando un ataque (sin querer) pueda dejar tonta una máquina y cuando te toque a ti te frustres porque pienses que estás ejecutando el ataque de forma incorrecta, y cuando veas las soluciones sea idéntica a la tuya. Aquí es donde entra un buen equipo de soporte para el LAB, el buen equipo que tienen suple estos problemas de forma fantástica.
    • El segundo y que más me preocupaba era el tema de seguridad, al final estás juntando a 25 personas que les encanta la ciberseguirdad con acceso a un AD vulnerable los cuales tienen conexión entre sí ¿Qué podría salir mal? Mis recomendaciones son:
      • A la hora de subir tools y montarte una carpeta de tu host local a la máquina de estudiante hazlo de forma momentánea, es decir, transfiere lo que quieras y corta la sesión de RDP.
      • Esto ya para los más paranoicos. Conectarse a la máquina de estudiante a través de una VM, si vuestro equipo va un poco pillado de recursos igual notáis lentitud, pero es una muy buena medida.
      • Para quitaros un poco el miedo yo tengo que decir que no vi nada raro durante mi tiempo en el lab, pero ya sabéis más vale prevenir que curar.

Mis consejos para la preparación

Os dejo una serie de consejos para prepararos:

  1. En el caso de escoger el bootcamp os recomiendo visualizar la clase entera y una vez interiorizados los conceptos pasar a las manos en el LAB.
  2. Realizar todos los ataques posibles en LAB para evitar sustos en el examen. En mi caso dejé bastante tiempo entre las sesiones del bootcamp y hacer el examen, por lo que en las sesiones Nikhil decía que x temas no caían, pero al hacer el examen había vulnerabilidades de temas que no entraban, por suerte ya había explotado todas las vulns del lab así que no me enfrentaba a nada nuevo.
  3. Acceder al discord, buscar vuestras dudas que seguro ya se han respondido alguna vez, si no encontráis nada parecido preguntar que seguro que hay alguien que os ayuda, es lo bonito de nuestra comunidad.

Examen

El examen fue un camino de rosas… Eso es lo querías escuchar ¿no? Pues no y es de agradecer, el examen está pensado para que haya que darle una vuelta a los conceptos aprendidos, y el limite de 24 horas lo hace un reto.

Formato

El Examen tiene un objetivo muy concreto, conseguir ejecutar comandos en 5 máquinas diferentes, sin contar vuestra propia máquina de estudiante. No hace falta escalar privilegios en las 5, así que si vais justos de tiempo no lo perdáis en esta tarea.

Tras finalizar el examen tienes 48 para hacer el reporte.

Dificultades

Sin duda la mayor dificultad es el tiempo, 24 horas, como en la OSCP. ¿El problema? Que como te quedes atascado en algún punto te vas a empezar a frustrar y a perder el tiempo. En este caso la gente recomienda descansar, tomar algo de aire, pero para mí eso es una tarea imposible, si me quedo atascado le voy a estar dando vueltas hasta que lo consiga, puede que esto sea contraproducente pero es lo que me funciona.

A nivel técnico si has explotado todas las vulns del LAB no deberías tener ningún problema, lo que hay que tener sí o sí es una buena metodología.

Consejos Para el Examen

Os dejo algunos consejos que os vendrán bien a la hora de hacer el examen:

  • Create un diagrama visual para tener clara la estructura del AD, un buen diagrama ayuda a ver posibles vectores de explotación que se te pueden estar pasando.
  • Enumera, enumera, enumera y enumera bien, de forma concienzuda. En mi caso perdí casi tres horas por haber pasado mal el nombre de un user a mis apuntes.
  • No dudes de tus conocimientos, si estás haciendo algo que sabes que está bien verifica si estás cometiendo algún error tonto a nivel de sintaxis, y en caso de que no sea el caso utiliza las posiblidad de reiniciar las máquinas de forma individual.
  • Prepárate BloodHound CE en tu máquina, es una herramienta impresionante a la hora de mostrar vectores de explotación, eso sí, recuerda que hay cosas que no vas a ver con Bloodhound ya que estás ejecutando el collector Sharphound desde un usuario en concreto, por o lo que o lo ejecutas desde cada cuenta comprometida (Un poco rollo) o tienes claro lo que Bloodhound no va a poder ver para poder enumerarlo de forma manual (Os lo recomiendo).
  • A día de hoy no necesitas ofuscar las tools para evadir el AD, por lo que no perdáis el tiempo en eso, coger las últimas Tools.zip dadas por AD que están actualizadas para evadir el defender del LAB.
  • Durante el examen asegurater de tomar evidencia con capturas de pantallas de todo lo que sea de utilidad, y ve pegando tanto la imagen como el comando en tu herramienta, yo recomiendo Obsidian.
  • Haz un reporte de calidad. Aunque AS marca como objetivo comprometer las 5 máquinas parece ser que hay gente que ha aprobado con 4, supongo que esto se debe a que han hecho un muy buen reporte, al fin y al cabo todo el mundo puede quedarse atascado en algún punto, y un buen reporte puede suplir el que te falte una máquina.

Reporte

El reporte es algo esencial, al final es el reflejo de lo que has realizado un el LAB, da igual que hagas el examen perfecto en 3 horas si luego el reporte es pobre. Al fin y al cabo es una simulación de pentest real, donde el cliente en este caso AS solo va a ver el reporte.

Yo he utilizado la Template de TCM y la he adaptado para entornos AD, he utilizado el MITRE attack Framework y la CVSSv3.1 para catalagar la criticidad de las vulnerabilidades.

Otro consejo sería hacer el borrador primero en Obsidian, os va a agilizar la tarea para hacer el reporte. Cuando os pongais con el reporte simplemente tendréis que ir copiando y pegando las capturas y pasando a limpio la explicación de lo que estáis haciendo. Mi reporte final constó de 68 paginas, si que es verdad que lo he hecho lo más detallado posible, como lo haría para un cliente real, es posible que a vosotros os quede algo más corto, eso ya va a gusto de cada uno. Siempre y cuando refleje bien vuestro trabajo no debería haber ningún problema.

Conclusión

En general la certificación está muy bien, me parece la cert perfecta para empezar con AD, además las 24 horas lo vuelve un reto perfecto como preparación para la OSCP.

En ciertos momentos del año como el blackfriday la podéis adquirir por 200€ material + acceso al lab 1 mes y 280€ bootcamp + material + acceso al lab, cabe recalcar que tienes acceso al material de por vida. Para mi la mejor cert que he encontrado por este rango de precio.

Contacto

Para cualquier duda me podéis contactar a través de X sin compromiso alguno, recalco que no voy a dar ninguna respuesta acerca del propio examen, pero si tenéis algún problema/duda acerca de la preparación no dudéis en preguntarme.