Erfahrungsbericht

4 03, 2014

Erfahrungen zum OSCP: Teil 9 Die Prüfung – Exam Network

von |4. März 2014|Pentest|2 Kommentare|

Hart, härter, OSCP-Prüfung. Ich habe gestern bzw. heute die Prüfung zum OSCP (Offensive Security Certified Professional) hinter mich gebracht. In einem 24-Stunden-Zeitfenster musste ich in mehrere Server (Windows/Linux) eindringen und privilegierte Rechte erlangen. Eine Prüfung zum CISSP oder CISM mit ein paar Stunden ist dagegen eher ein Spaziergang. Der OSCP ist definitiv schwieriger und härter. Bei den anderen Prüfungen kann man sich durch effizientes Lernen darauf vorbereiten, beim OSCP zählt Erfahrung, Wissen und Können.

Ich denke ich habe die Prüfung erfolgreich hinter mich gebracht: Alle Server übernommen, den Bericht geschrieben und abgegeben. In den nächsten 2-3 Tagen sollte dann das offizielle Ergebnis da sein.

Wer in den Bereich Penetration Testing einsteigen möchte oder ein starkes Interesse an Hacking hat, dem kann ich den Kurs nur empfehlen. Man sollte aber viel Zeit mitbringen. Das zur Verfügung gestellte Labor ist sehr groß und umfangreich. Da gehen schnell viele Abende und Sonntage dahin. Die für den CISSP & Co offiziell anrechenbaren 40 CPE (40 Stunden Fortbildung) sind eher ein Witz – ein Vielfaches an Aufwand ist wesentlich realistischer. Dafür darf man dann – zurecht – stolz auf die erlangte Auszeichnung OSCP sein.

24 02, 2014

Erfahrungen zum OSCP: Teil 8 Report fürs Lab

von |24. Februar 2014|Pentest|0 Kommentare|

Nachdem die meisten Systeme eingenommen sind, wollte ich mit dem Penetration Test Report vom Labor beginnen. Ich hatte bisher meine Dokumentation stichpunkthaft mit Keepnote verfasst. Ich muss zugegeben, ich hätte entweder die Dokumentation parallel zum Hacken im Labor gleich erstellen oder zumindest die Inhalte in Keepnote besser aufbereiten sollen. So muss ich mir wahrscheinlich die meisten Systeme nochmal kurz ansehen. Das war leider keine optimale Vorgehensweise. Ich kann im Nachhinein nur empfehlen, gleich vom Beginn ab mehr Aufwand in den notwendigen Bericht zu stecken.

20 02, 2014

Erfahrungen zum OSCP: Teil 7 Neustart 2014 nach längerer Pause

von |20. Februar 2014|Pentest|0 Kommentare|

Nicht nur mein letzter Blog-Eintrag zum OSCP-Kurs ist aus November 2013, ich hatte in letzter Zeit auch nichts mehr dafür gemacht. Zudem lief mein Lab-Zugang im Dezember aus. Jetzt geht’s wieder los: 30-Tage-Verlängerung vom Lab geordert. Ziel: OSCP im März!

3 02, 2014

Erfahrungen zur Prüfung zum Datenschutzbeauftragten DSB-TÜV (Schwierigkeitsgrad)

von |3. Februar 2014|Zertifizierung|0 Kommentare|

Ist die Prüfung schwer? Ich möchte die Frage so beantwortet: Wer nach 4-5 Tagen in einem Kurs zum Datenschutzbeauftragten durch die Prüfung zum DSB-TÜV fällt hat entweder wirklich sehr viel Pech oder einfach die letzten Tage so gar nicht aufgepasst.

Alleine vom Umfang kann man sie nicht mit den harten Prüfungsbrocken CISSP, CISM & Co vergleichen. Wer einen CISSP, CISM oder TISP hat, wird die Prüfung zum zertifizierten Datenschutzbeauftragten DSB-TÜV sicherlich bestehen.

16 11, 2013

Erfahrungen zum OSCP: Teil 6 Manchmal kann es so simpel sein

von |16. November 2013|Pentest|0 Kommentare|

Manchmal kann es so simpel sein. Ich hatte auf einem Linux-Host eine nicht-privilegierte Reverse-Shell per netcat erlangt. Neben root existierte noch ein weiterer User. Nachdem ich mehrere Stunden erfolglos Zeit in die Privilege Escalation über Exploits investiert hatte, war ich kurz vorm Aufgeben für diesen Tag.

Aus purer Verzweiflung wagte ich ein „su username“ und gab einfach als Passwort den Benutzernamen ein. Nicht nur hatte das Erfolg, der Benutzer hatte auch uneingeschränkte sudo-Rechte auf diesem Host. In weniger als einer Minute war ich root.

Wenn man selbst sehr sensibilisiert mit dem Umgang von Passwörtern ist und weiß, wie man sichere Passwörter benutzt und auch einen Passwortsafe verwendet, verschränkt es manchmal ungemein den eigenen Blickwinkel. Irgendwann kommt man nicht mehr intuitiv auf die Idee, dass trivialste Passwort zu versuchen. Manchmal ist es wirklich so simpel.

27 10, 2013

Erfahrungen zum OSCP: Teil 5 Es zieht sich.

von |27. Oktober 2013|Pentest|0 Kommentare|

Mein aktueller Stand:

  • 5x privilegierte Rechte
  • 6x unprivilegierte Rechte
  • Freischaltung DEV- und IT-Netz

Es zieht sich etwas. Das Labor ist enorm groß. Manchmal hat man eine gute Idee und ein wenig Glück, sodass eine Maschine schnell gerootet ist. Dafür rennt man bei anderen Maschinen Angriffsvektoren hinterher, die nicht zu funktionieren scheinen.

Es fühlt sich ein klein wenig an, als würde ich wieder eine wissenschaftliche Abschlussarbeit schreiben. Der OSCP ist sicherlich interessanter, keine Frage. Parallelen gibt es dennoch. Ohne Ausdauer und Ehrgeiz ist auch der OSCP nicht zu schaffen. Insbesondere wenn man noch recht am Anfang ist und mehr als die Hälfte noch vor sich hat.

Ich schätze, dass ich bis zum Ende mehr Zeit investieren werde, als für die Vorbereitungen auf CISSP, CISM, TISP usw. zusammen. Der OSCP bringt 40 CPE für CISSP und CISM –  das ist ein lachhafter Wert. Wer den OSCP in 40 Stunden inklusive Prüfung und Dokumentation erfolgreich hinter sich bringt, hat meine Bewunderung verdient. Ich halte das für nahezu unmöglich.

17 10, 2013

Erfahrungen zum OSCP: Teil 4 Reverten tut gut

von |17. Oktober 2013|Pentest|0 Kommentare|

Über das eigene Labpanel kann man beim OSCP Server in ihren Ausgangszustand zurückversetzen (reverten). Man kann zwar selbst jeden Tag nur eine begrenzte Anzahl von Servern reverten, dennoch lohnt es sich, dieses vor einem Angriff durchzuführen.

Andere OSCP-Studenten hinterlassen eventuell defekte Applikationen oder Files wie Webshells, die einen eigenen Angriff entweder beeinträchtigen können oder zumindest das Potential haben für Verwirrung zu sorgen.

15 10, 2013

Erfahrungsbericht zu Google Apps for Business

von |15. Oktober 2013|Allgemein|0 Kommentare|

Ich nutze seit ein paar Monaten Google Apps for Business. Davon insbesondere Mail, Drive, Kalender, und Kontakte. Die anderen verfügbaren Apps nur gelegentlich oder gar nicht. Ich zahle aktuell etwas unter 5€ für jeden Nutzer pro Monat.

Das Beste vorweg: Mail, Drive, Kalender & Co funktionieren zuverlässig, auch wenn in der Startphase mein eigener Account nicht richtig funktionierte. Ich konnte keine Mails verschicken oder empfangen noch das Paket administrieren. Nach ein paar Tagen wurden die Probleme behoben und traten auch nicht mehr auf. Wo der Fehler lag, wurde mir leider nicht mitgeteilt.

Ansonsten bin ich mit Google Mail sehr zufrieden, die anderen Apps wie Drive, Kalender oder Kontakte halte ich persönlich nicht für 100% business-ready. Bei Drive gibt es kein (einfach bedienbares) Berechtigungskonzept und die Erstellung von Drive eigenen Dokumenten ist zwar möglich, ich bin mittlerweile aber davon abgekommen und nutze Drive nur noch als Ablage in der Cloud. Drive ist keine Konkurrenz zu Microsoft Office oder Open Office. Für mal eben schnell 1-2  Sätze schreiben ok, fürs Geschäft eher ungeeignet.

Ich kann mit meinem Account Kalendereinträge von anderen verschieben, löschen, erstellen usw. Sicher ist das ein privilegierter Account, aber ich habe noch nicht einmal gefunden, wie ich dieses Verhalten abstellen könnte. Ein gutes Rollen- und Berechtigungskonzept sieht anders aus. Bei den Kontakten bin ich aber verzweifelt. Es gibt ohne auf weitere Software zu setzen, die Google direkt per API anspricht, anscheinend keine Möglichkeit globale unternehmensweise Kontakte zu definieren.

Irgendwann habe ich den Eindruck gewonnen, dass Google Apps for Business zwar eine gutes Produkt ist, aber eher für einen 1-Mann-Betrieb. Ich nutze weiterhin die kostenpflichtigen Produkte von Google, aber in einem geringeren Umfang als ich eigentlich wollte.

13 10, 2013

Erfahrungen zum OSCP: Teil 3 Erste Bilanz

von |13. Oktober 2013|Pentest|0 Kommentare|

Meine erste Bilanz:

  • 1x Windows (privilegierte Rechte)
  • 5x Linux (unprivilegierte Rechte)
  • Freischaltung DEV-Netz

Ich habe schon in vielen Berichten gelesen, wie steil die Lernkurve beim OSCP ist und wie umfangreich der Kurs. Jetzt kann ich es nachvollziehen. Es stimmt auch, dass der OSCP in keiner Art und Weise vergleichbar mit anderen Sicherheitszertifizierungen ist. Während man bei CISSP, CISM & Co sehr vieles einfach auswendig lernen kann, ist der OSCP absolut praktisch orientiert. Hier wird nichts auswendig gelernt, hier werden Anwendungen und Systeme gehackt. Über z.B. SQL Injections lesen ist die eine Sache, sie praktisch durchzuführen eine andere. Ich empfinde den OSCP bisher als recht anstrengend, aber auch als extrem lehrreich und fesselnd.

Kleiner Tipp am Rande: Wenn man über das eigene Adminpanel versucht einen Rechner zurückzusetzen und es scheint nicht zu funktionieren: Es ist eher kein Systemfehler sondern hat einen relativ einfachen Grund…

7 10, 2013

Erfahrungen zum OSCP: Teil 2 Die ersten Schritte

von |7. Oktober 2013|Pentest|0 Kommentare|

Die Doku umfasst mehrere hundert Seiten und das Video-Material läuft auch länger als 5min. Ganz zu schweigen davon, dass die Übungen in der Doku auch ihre Zeit kosten. Etwas ungeduldig habe ich mich dann direkt am Labor versucht.

Das war ein Fehler. Ich habe einige Stunden für einen Angriff verschwendet, den ich nicht erfolgreich durchführen konnte. Danach bin ich zurück zur Doku. Auf Seite 305 stand dann auch der entscheidende Hinweis, wieso mein Angriff nicht funktionierte. Abkürzungen funktionieren beim OSCP nicht.

Meine Empfehlung: Doku überfliegen. Video sehen. Doku lesen und Übungen durchführen. Parallel vielleicht ein paar Scans (z.B. nmap oder nikto) gegen das Labor schießen, aber nicht blind drauflos hacken.