by Alteredsecurity
www.alteredsecurity.com
コース概要
バージョンとかの脆弱性ではなく、ActiveDirectoryのセキュリティ設定不備に対する攻撃を学ぶ。
コースでは全て、踏み台となるドメイン参加済み・ドメインユーザログオン済みのWindowsマシンからの調査や攻撃を想定している。
スライドとビデオなどの資料を確認し、学習用Lab環境で実践する。
コース内容例
例えば以下のような内容
・Bypassing AV Signatures for PowerShell
・Offensive .NET - Tradecraft
・Domain Enumeration
・Domain Enumeration - GPO
・Domain Enumeration - OU
・Domain Enumeration - ACL
・Domain Enumeration - Trusts
・Domain Enumeration - Forest
・Domain Enumeration – User Hunting
・Privilege Escalation - Local
・Privilege Escalation- Kerberoasting
・Privilege Escalation - Windows LAPS
・Lateral Movement - Credential Extraction
・Privilege Escalation – gMSA
・MDE - Credential Extraction
・Privilege Escalation – Kerberos Delegation
・Privilege Escalation – Unconstrained Delegation
・Privilege Escalation – Constrained Delegation
・Privilege Escalation – Resource-based Constrained
・Delegation
・Domain Persistence - Golden Ticket
・Domain Persistence - Silver Ticket
・Domain Persistence - Diamond Ticket
・Domain Persistence – Custom SSP
・Cross Domain Attacks – AD CS
・Lateral Movement - Shadow Credentials
・Lateral Movement - WMI Filters
・Cross Domain Attacks - Attacking Hybrid Identity
・Cross Forest Attacks - Trust Key
・Trust Abuse - MSSQL Servers
・Cross Forest Attacks - Foreign Security Principals
・Cross Forest Attacks - ACLs
・Cross Forest Attacks - Abusing PAM Trust
・Cross Forest Attacks – Trusting to Trusted
ちなみに試験では扱われない項目もある。項目名から何となく察することができると思う。
CRTPと被る部分もあるが、CRTPで基本的なことは知っているだろうから、少し発展的な話をするねというような雰囲気のある説明と感じた。
Lab環境について
ドメインやフォレストが複数ある環境で攻撃を学ぶ。
openvpnで踏み台となるWindowsマシンに接続。このWindowsマシンは、ドメイン参加済み、最初にログオンするユーザはドメインユーザ。
学習に必要な使用ツールは全て踏み台マシンに揃っている。
偶に不具合があったが、メールすれば1日以内に対応してくれる。
他の人と共用の環境なので、勝手に設定が書き換わっていることはあるが、1日でリセットされているらしい。(それでも直らない箇所もあったが)
flagとして問われている文字列をLab環境から発見するHands-Onという問が約30問ある。Hands-Onの詳細なやり方動画や必要なコマンドはまとめられているので、分からなくても詳細を確認できる。
Sliver C2を使用したHands-Onの解決も想定されており、その場合に使用するコマンドも配布されているpdfにまとめられている。
自分のスケジュール
| 日時 | イベント |
|---|---|
| 2025/11/22 | コース購入 |
| 2025/11/29 | サブスクリプション有効化 |
| 2025/12/20 | コース内容確認、Hands-On完了 |
| 2025/12/26 14:20頃 | 試験開始 |
| 2025/12/28 15:20頃 | 試験終了&レポート作成時間開始 |
| 2025/12/29 18:00頃 | レポート提出 |
| 2025/12/31 22:45頃 | レポート再提出連絡 |
| 2025/01/01 17:00頃 | レポート再提出 |
| 2025/01/02 19:30頃 | メールで資格証明書リンク受取 |
| 2025/01/28 | サブスクリプション終了予定 |
コース開始
Alteredsecurityはブラックフライデーセール(20% OFF)をやっていたので、ラボ2か月分を購入。
1週間ほどコースのpdfを確認してから、サブスクリプションを開始。サブスクリプションを開始する前に、コースのpdf、Hands-Onのpdf、ビデオ、使用するツールセットを確認できる。
サブスクリプション有効化により、Lab環境にアクセスできるようになる。サブスクリプションの有効化の期限は通常は購入から90日以内、ブラックフライデーとDiwaliセールで購入した場合は180日以内を開始日にできる。
サブスクリプション有効化の設定はいつ行っても良さそうだが、有効化には1日くらいかかったような記憶。
コース内容とHands-Onの取り組み
CRTPを既にやっていれば直ぐに理解できるような内容。
それ以外の基準は特に思いつかないが、少なくともHackTheBoxAcademyのActive Directory Enumeration & Attacksくらいの理解が無いと大変かも。
しかし、最近はAIという勉強仲間がいるので一緒に勉強する感じでやっていくと理解が深まる。
自分は常に、xAIのgrokとAnthropicのClaudeを使用している。
試験の感じ
試験環境にアクセスできるのは49時間、レポート作成用時間として48時間が与えられている。
試験はスケジュールしなくとも、コースのダッシュボードからボタンを押すと始まる。ただし、試験環境の構築時間があるようでボタンを押してから10分~20分くらいでアクセスできるようになる。
試験環境のアクセス時間は環境が構築されてから49時間。公式のアナウンスによると試験環境へのアクセス48時間+環境確認時間1時間という計算らしい。
Offsecもそれぐらい寛容になって欲しい。
試験環境へはopenvpnでアクセス。Lab環境と同様にドメイン参加済みWindowsマシン、ドメインユーザからスタート。しかし、Windowsマシンの管理者権限は持っていないので、この踏み台マシンの管理者権限を取得するのが大抵のスタートとなる。また、踏み台マシンには攻撃ツールが無いので適宜持ってくる必要がある。
ターゲットとなるのは最初の踏み台マシンを除いた5台のサーバ。全てのマシンで管理者権限を取得する必要は無い。何らかの形でOSコマンドを実行できれば良い。
自分の場合は試験開始24時間で全てのマシンのOSコマンド実行を終え、その後レポート用の記録を収集。試験環境にアクセスできなくなる時間にはレポートの半分くらいを書き終えていた。
CRTPの試験は学んだことを全て理解して、少し応用できれば試験に受かることができた感じだった。CRTEの試験はコース内容に無かったことも知らないと解けない。調べたら直ぐ出てくるような内容なので、あんまり気負わなくても良い。が、列挙を怠らないように、とにかく列挙!!!
試験の詳細は語れないが、複数のフォレストがあった。一つだけ言えることは、Labほど大きな環境ではなく、Labに比べるとかなり小さな環境である。
また、個人的にちょっと不満だった点もある。
試験のちょっと期待と違った点
試験内容が複数あれば違う経験もあったかもしれないが、以下は私が受けた試験での感覚。
1.ドメイン間、フォレスト間の攻撃が殆ど無い
コース内容では複数のドメイン・フォレスト間の攻撃方法が示されていて、これ一体どこで使えるんだと思いつつ期待に胸を膨らませて学んでいた。しかし、殆ど活用機会が無かった。悲しい。
2.EDR(MDE)バイパス無かった
MDEの検知回避の話があったので試験でも必要になるかと思っていたが無かった。悲しい。基本的には何かよく分からない調整がされたWindowsDefenderの回避しかない。
3.ADCSは無かった
証明書をガチャガチャして権限昇格とか、ドメイン間の権限昇格がしたかったCRTE人生だった。しかしながら、ADCSは無かった。悲しい。
レポート提出
英語で書く。英語が母国語で無ければ、その旨を記載してくれという案内があるので何らかの考慮はあるかもしれない。それでも、読みやすいレポートでないといけないという念押しがある。
レポート用の記録として、実行時の結果のスクリーンショットと実行したコマンドを記録を取った。
今はAIが良い感じに英訳してくれるので英語は心配しなくて良い。
ところで、自分の場合はまさかのレポート再提出要請があって驚愕した。指摘事項としては「実用的な改善案を記載して欲しい」ということだったので、脆弱性修正用のコマンドをレポートに記載した。これで合格となったとのこと。
こういう資格試験のレポート再提出なんて初めてだったが、CRTEでは修正内容に関して環境に応じた具体的な案を提示しないといけないようだ。
所感
よりADを深く知ることができて良かった。でも、これより上?のCRTMは受ける気にはなっていない。
オンプレADじゃなくて、AzureのADとかAzure関係が気になり始めている。
Alteredsecurityのコースだと、CARTPとCARTEか。
そんなこと言いながら、Alteredsecurityのコースで次に受けそうなのは既に購入済みのCETPなのだが。
