Passer au contenu principal
Scénarios de Laboratoire Professionnel
Ryan Gordon avatar
Écrit par Ryan Gordon
Mis à jour il y a plus d'un an

Offshore

Offshore est un environnement d'entreprise réel qui présente un large éventail de failles et de mauvaises configurations modernes dans Active Directory (Répertoire actif). Offshore Corp est mandaté pour effectuer des tests d'intrusion trimestriels, conformément aux exigences de conformité des organismes de réglementation financière, et se concentre sur la correction des failles. La société a réalisé plusieurs acquisitions, les entités acquises étant intégrées par le biais de domain trusts (relations de confiance de domaine).

Si vous parvenez à contourner la périphérie et à prendre pied, il vous est demandé d'explorer l'environnement de l'entreprise, de pivoter à travers les frontières de confiance, et en fin de compte de tenter de compromettre toutes les entités Offshore Corp.

Offshore mettra à l'épreuve votre compréhension de l'énumération, de l'exploitation et de la post-exploitation dans Active Directory, ainsi que de votre capacité à vous déplacer latéralement, à pivoter et à mener des attaques modernes sur les applications web. Certains flags (drapeaux) sont nécessaires pour avancer dans le laboratoire, tandis que d'autres sont des quêtes secondaires qui renforcent les compétences en énumération et en post-exploitation.

Ce laboratoire Penetration Tester Level III (Testeur de pénétration Niveau III)

  • Énumération

  • Contournement des protections d'endpoint (point de terminaison)

  • Exploitation d'un large éventail de failles réelles dans Active Directory

  • Déplacement latéral et franchissement des frontières de confiance

  • Élévation de privilèges

  • Attaques sur les applications web


RastaLabs

RastaLabs est un environnement de simulation d'équipe rouge, conçu pour être attaqué dans le but d'apprendre et de perfectionner vos compétences en la matière. L'entreprise propose des services de sécurité et de tests de pénétration, offrant expertise, flexibilité et un soutien étendu avant, pendant et après chaque mission. Elle a fait appel à vos services pour réaliser une évaluation d'équipe rouge de leur environnement sécurisé Active Directory.

L'objectif de ce laboratoire stimulant est de prendre pied, d'augmenter les privilèges, d'établir une persistance et de vous déplacer latéralement, afin d'atteindre le statut de Domain Admin (Administrateur de domaine). Il y a de nombreux flags à capturer et badges à obtenir en cours de route.

Ce laboratoire Red Team Operator Level I (Opérateur de l'équipe rouge Niveau I)

  • Énumération et exploitation d'Active Directory

  • Diverses techniques de déplacement latéral

  • Contournement des protections d'endpoint

  • Développement d'exploits

  • Techniques de persistance

  • Phishing

  • Élévation de privilèges


Cybernetics

Cybernetics est un environnement immersif d'entreprise pour Active Directory qui offre une infrastructure avancée. Cybernetics LLC a fait appel à vos services pour réaliser une évaluation d'équipe rouge sur leur environnement. Cybernetics a subi de multiples engagements de test d'intrusion, renforçant itérativement leur environnement à chaque fois, et dispose donc d'une posture de sécurité plus mature. De nombreuses technologies de protection sont présentes et les systèmes d'exploitation modernes sont entièrement mis à jour. L'entreprise dans ce scénario réel se concentre sur les technologies Microsoft et DevOps/automation (automatisation).

Il s'agit d'un environnement hautement stimulant et moderne qui vous poussera dans vos retranchements et mettra vos compétences à l'épreuve en matière d'énumération, d'exploitation, de déplacement latéral, de persistance et d'élévation de privilèges.

Il y a de nombreux flags à capturer en cours de route, certains sur le chemin principal de l'attaque et d'autres dans des quêtes secondaires que vous devez rechercher.

Ce laboratoire Red Team Operator Level II (Opérateur de l'équipe rouge Niveau II)

  • Énumération et exploitation d'Active Directory

  • Évasion

  • Contournement des protections d'endpoint

  • Utilisation abusive de Kerberos

  • Déplacement latéral

  • Phishing

  • Élévation de privilèges

  • Attaques sur les applications web


APTLabs

APTLabs simule une attaque ciblée par un agent de menace externe contre un MSP (Managed Service Provider) (Fournisseur de services gérés). Le laboratoire nécessite des connaissances préalables sur l'attaque des réseaux Active Directory. APTLabs est composé de serveurs entièrement patchés, de technologies d'entreprise prédominantes, d'un réseau WAN simulé, et bien plus encore !

Votre objectif est de compromettre tous les réseaux clients et d'atteindre le statut de Domain Admin chaque fois que c'est possible. À la fin de ce laboratoire, vous maîtriserez les TTP (Tactics, Techniques and Procedures) durables, la

Professional Labs permettent aux clients de s'entraîner au hacking dans des environnements en réseau à l'échelle de l'entreprise. Ces laboratoires vont bien au-delà du style standard d'un seul ordinateur. Ils offrent des réseaux d'entreprise simulés qui peuvent s'étendre sur plusieurs sous-réseaux, technologies et dizaines d'ordinateurs.

Hack The Box propose aux clients Business et Individual plusieurs scénarios. Chacun offre différentes techniques, objectifs d'apprentissage et niveaux de difficulté, allant des débutants aux experts.

Si vous avez des questions ou si vous souhaitez en savoir plus sur un scénario donné, vous pouvez contacter l'Hack The Box Sales Team (équipe commerciale de Hack The Box)


Zephyr - NEW! (Zephyr - NOUVEAU !)

Zephyr Pro Lab

Zephyr est un environnement de simulation de l'équipe rouge de niveau intermédiaire, conçu pour être attaqué afin d'apprendre et de perfectionner vos compétences d'engagement et d'améliorer votre Active Directory (Service d'annuaire actif) enumeration et vos compétences d'exploitation. Zephyr comprend un large éventail de failles et de mauvaises configurations Active Directory pour permettre aux joueurs de prendre pied dans des environnements d'entreprise.

Zephyr Server Management a été engagé par l'organisation Painters pour maintenir activement leur infrastructure alors qu'ils continuent de se développer en tant qu'entreprise. Les organisations ont pour obligation de réaliser des tests de pénétration trimestriels et elles vous ont employé pour rechercher activement toutes les vulnérabilités potentielles qui pourraient conduire à la compromission complète des réseaux des deux sociétés. Il vous incombe d'explorer l'environnement d'entreprise, de pivoter à travers les frontières de confiance, et finalement de tenter de compromettre toutes les entités de Painters et Zephyr Server Management.

Ce laboratoire Red Team Operator Level I exposera les joueurs à :

  • Énumération (listing)

  • Exploitation d'un large éventail de failles Active Directory du monde réel

  • Attaques de relais

  • Mouvement latéral et franchissement de frontières de confiance

  • Pivotement

  • Attaques SQL

  • Crackage de mots de passe

  • Élévation de privilèges

  • Attaques d'applications Web


Genesis

Genesis est un premier laboratoire idéal qui présente un large éventail de vulnérabilités OWASP Top 10, de techniques courantes d'élévation de privilèges et de mauvaises configurations de sécurité du monde réel. Il couvre comment exploiter les vulnérabilités et, surtout, comment les atténuer.

Genesis LLC est une start-up dans le domaine de la cybersécurité. Avant d'utiliser leurs services, un client potentiel a demandé un rapport de pentest interne du réseau Genesis dans le cadre de leur devoir de diligence. Genesis vous a chargé d'évaluer la sécurité de leur infrastructure interne et de créer un rapport de pentest. Ils vous ont demandé d'évaluer d'abord la plage 10.10.110.0/24 avant de vous attaquer à tout autre réseau.

Ce laboratoire Penetration Tester Level I exposera les joueurs à :

  • Énumération

  • Modification d'exploit

  • Mouvement latéral

  • Mesures d'atténuation et bonnes pratiques

  • Élévation de privilèges

  • Conscience de la situation

  • Attaques d'applications Web


Breakpoint

Breakpoint est un environnement de simulation d'équipe rouge (red team simulation), conçu pour être attaqué dans le but d'apprendre et de perfectionner vos compétences en matière d'engagement. Il est destiné aux testeurs de pénétration juniors qui cherchent à améliorer leurs compétences, ainsi qu'aux testeurs de pénétration seniors à la recherche d'un laboratoire stimulant pour perfectionner leurs compétences d'engagement.

BreakPoint LLC est une start-up de développement de logiciels qui prend la sécurité au sérieux. Ils ont fait appel à vos services pour réaliser une évaluation d'équipe rouge de leur environnement. L'objectif de ce laboratoire stimulant est de prendre pied, d'élever les privilèges, d'établir la persistance et de se déplacer latéralement pour atteindre l'objectif de l'administrateur de domaine.

Ce laboratoire Red Team Operator Level II permettra aux participants de :

  • Énumérer et exploiter Active Directory

  • Passer en revue du code (Code review)

  • Éviter les protections des points d'extrémité

  • Se déplacer latéralement

  • Élever les privilèges locaux

  • Techniques de phishing

  • Conscience de la situation

  • Exploiter la VoIP


Dante

Dante est un Professional Lab (laboratoire professionnel) adapté aux débutants, qui offre l'opportunité d'apprendre les méthodologies courantes de test de pénétration. Dante LLC a fait appel à vos services pour auditer leur réseau. L'entreprise n'a pas encore subi de test de pénétration complet, et elle souhaite réduire sa dette technique. Elle craint qu'une violation réelle ne puisse entraîner une perte de revenus et des dommages à sa réputation.

Après avoir franchi le périmètre, vous devez explorer le réseau, vous déplacer latéralement et verticalement, jusqu'à obtenir le contrôle administratif sur tous les hôtes. Vous développerez vos compétences en matière de collecte d'informations et de conscience de la situation, vous serez capable d'exploiter des dépassements de tampon sur Windows et Linux, vous vous familiariserez avec le Metasploit Framework, et bien plus encore !

Il y a de nombreux "flags" à capturer en cours de route, certains sur le chemin principal de l'attaque et d'autres dans des quêtes secondaires que vous devez rechercher.

Ce laboratoire Penetration Tester Level II permettra aux participants de :

  • Énumérer les vulnérabilités

  • Développer des exploits

  • Se déplacer latéralement

  • Escalader les privilèges

  • Lancer des attaques sur les applications web


Avez-vous trouvé la réponse à votre question ?