メインコンテンツにスキップ
プロフェッショナルラボシナリオ
Ryan Gordon avatar
対応者:Ryan Gordon
1年以上前に更新

Offshore

Offshore (オフショア) は、現実のエンタープライズ環境であり、さまざまな近代的な Active Directory (アクティブディレクトリ) の欠陥や設定ミスを特集しています。Offshore Corp (オフショア社) は、金融規制当局のコンプライアンス要件により、四半期ごとの侵入テストを義務付けられており、パッチ適用に注力しています。同社はいくつかの企業買収を完了し、買収されたエンティティをドメイントラストを介して「接続」しています。

もし周縁を侵犯し、立ち入ることができた場合、企業の環境を探索し、トラスト境界を越えて移動し、最終的にはすべての Offshore Corp のエンティティを侵害しようとすることになります。

Offshore は、Active Directory の列挙、攻撃、ポスト攻撃、およびレティナルムーブメント、ピボティング、モダンなウェブアプリケーション攻撃の理解をテストします。ラボを進むためには、一部のフラグが必要であり、他のフラグは列挙およびポスト攻撃のスキルを強化するサイドクエストです。

この Penetration Tester Level III (ペネトレーションテスターレベルIII) ラボは、プレイヤーに以下を公開します:

  • 列挙

  • エンドポイント保護の回避

  • 実世界の Active Directory のさまざまな欠陥の攻撃

  • レティナルムーブメントとトラスト境界の越えること

  • 特権エスカレーション

  • ウェブアプリケーションの攻撃


RastaLabs

RastaLabs (ラスタラボ) は、レッドチームのシミュレーション環境であり、学習とエンゲージメントスキルの研ぎ澄ましのために攻撃されることを目的としています。同社はセキュリティおよびペネトレーションテストサービスを提供し、各エンゲージメントの前、中、後に対して幅広いサポートと柔軟性を提供しています。彼らはあなたのサービスを enlist (enlist:積極的にサービスを受ける) し、彼らのセキュアな Active Directory 環境のレッドチームアセスメントを実行することを依頼してきました。

このチャレンジングなラボの目標は、立ち入り口を得て特権を昇格し、持続性を確立し、レティナルムーブメントを行い、Domain Admin (ドメイン管理者) の目標に到達することです。途中で多くのフラグをキャプチャし、バッジを獲得します。

この Red Team Operator Level I (レッドチームオペレーターレベルI) ラボは、プレイヤーに以下を公開します:

  • Active Directory の列挙と攻撃

  • さまざまなレティナルムーブメントの技術

  • エンドポイント保護の回避

  • エクスプロイトの開発

  • 持続性の技術

  • フィッシング

  • 特権エスカレーション


Cybernetics

Cybernetics (サイバネティクス) は没入型のエンタープライズ Active Directory 環境であり、高度なインフラストラクチャを特徴としています。Cybernetics LLC は、彼らの環境に対してレッドチームアセスメントを実施するために、あなたのサービスを enlist (enlist:積極的にサービスを受ける) しました。Cybernetics は、複数のペントエンゲージメントを経ており、反復的に環境を強化しており、より成熟したセキュリティポスチャを持っています。多くの保護技術が存在し、モダンなオペレーティングシステムは完全に更新されています。この実世界のシナリオでは、企業は MicrosoftDevOps/automation テクノロジーに焦点を当てています。

これは非常にチャレンジングでモダンな環境であり、列挙、攻撃、レティナルムーブメント、持続性、特権エスカレーションにおいて、あなたのスキルを限界まで引き出し、テストするでしょう。

Professional Labs(プロフェッショナル・ラボ)は、顧客がエンタープライズ規模のネットワーク環境でハッキングの練習をすることができるようにします。これらのラボは、標準的な単一マシンのスタイルのコンテンツを大幅に超えています。複数のサブネット、技術、および数十のマシンにわたるシミュレートされた企業ネットワークを提供します。

Hack The Box(ハック・ザ・ボックス)は、ビジネスおよび個人の顧客に対して、複数のシナリオを提供しています。各シナリオは、異なる技術要件、学習目標、難易度レベルを提供し、初心者向けから高度な内容まで幅広く揃えています。

特定のシナリオについての詳細を知りたい場合は、Hack The Box Sales Team(ハック・ザ・ボックス営業チーム)にお問い合わせください。


Zephyr - NEW!(ゼファー - 新着!)

Zephyr Pro Lab

Zephyr(ゼファー)は、中級レベルのレッドチーム(攻撃チーム)シミュレーション環境で、攻撃されて自分のエンゲージメント(攻撃活動)スキルを学び、Active Directory(アクティブディレクトリ)の列挙と攻撃スキルを向上させるために設計されています。Zephyrには、企業環境に侵入するための手掛かりをプレイヤーに提供するための、さまざまな重要なActive Directoryの欠陥と設定ミスが含まれています。

Zephyr Server Management(ゼファーサーバーマネジメント)は、Painters(ペインターズ)組織に対して、インフラストラクチャーの積極的な維持を行うために雇われました。これらの組織は、四半期ごとの侵入テストを実施することが義務付けられており、両社のネットワークが完全に危険にさらされる可能性のある潜在的な脆弱性を積極的に探求するために、あなたが雇われました。企業環境を探索し、信頼境界を越えてピボット(移動)し、最終的にすべてのペインターズとZephyr Server Managementエンティティを侵害しようとするのがあなたの役割です。

このRed Team Operator Level I(レッドチームオペレーターレベルI)ラボでは、以下の内容にプレイヤーをさらします:

  • 列挙

  • 実世界のActive Directoryのさまざまな欠陥の攻撃

  • リレーアタック

  • 横方向移動と信頼境界の越え越え

  • ピボッティング(回避行動)

  • SQL攻撃

  • パスワードのクラッキング

  • 特権のエスカレーション

  • Webアプリケーションの攻撃


Genesis

Genesis(ジェネシス)は、OWASP Top 10(オワスプトップテン)のさまざまな脆弱性、一般的な特権エスカレーション技術、および実世界のセキュリティ設定ミスを特集した、理想的な初めてのラボです。このラボでは、脆弱性をどのように攻撃し、重要なことに、それらがどのように緩和される可能性があるかをカバーしています。

Genesis LLC(ジェネシスLLC)は、新興のサイバーセキュリティ会社です。ある潜在的なクライアントは、Genesisのネットワークの内部ペンテストレポートを、デューディリジェンスの一環として依頼しました。Genesisは、内部インフラストラクチャーのセキュリティを評価し、ペンテストレポートを作成するという課題をあなたに委託しました。まず、10.10.110.0/24の範囲を評価し、それからさらなるネットワークに移ることが求められています。

このPenetration Tester Level I(ペネトレーションテスターレベルI)ラボでは、以下の内容にプレイヤーをさらします:

  • 列挙

  • エクスプロイトの改変

  • 横方向移動

  • 緩和策とベストプラクティス

  • 特権のエスカレーション

  • 状況認識

  • Webアプリケーションの攻撃


Breakpoint

Breakpoint は、攻撃して学習し、エンゲージメントスキルを磨く手段として攻撃されるように設計された、レッドチームシミュレーション環境です。スキルセットを向上させたい初級のペネトレーションテスターや、エンゲージメントスキルを磨む挑戦的なラボを求めるシニアのペネトレーションテスター向けに作られています。

BreakPoint LLC は、セキュリティを真剣に考えているソフトウェア開発スタートアップです。彼らは自分たちの環境のレッドチームアセスメントを実施するために、あなたのサービスを依頼しました。この挑戦的なラボの目標は、立ち入りし、特権を昇格させ、持続性を確立し、横方向に移動してドメイン管理者の目標に到達することです。

このRed Team Operator Level IIラボでは、以下の項目にプレイヤーをさらします:

  • Active Directoryの列挙と攻撃

  • コードレビュー

  • エンドポイント保護の回避

  • 横方向の移動

  • ローカル特権の昇格

  • フィッシング技術

  • 状況認識

  • VoIPの攻撃


Dante

Dante は、初心者にも優しい プロフェッショナルラボで、一般的なペネトレーションテストの方法論を学ぶ機会を提供しています。Dante LLC は、ネットワークの監査にあなたのサービスを依頼しました。同社は過去に包括的なペネトレーションテストを受けたことがなく、技術的な負債を減らしたいと考えています。実際の侵害が発生すると、収益の損失や評判の損害につながる可能性があることを懸念しています。

周辺を侵犯した後、ネットワークを探索し、横方向と縦方向に移動して、すべてのホストを管理する権限を獲得する必要があります。情報収集と状況認識のスキルをレベルアップし、WindowsとLinuxのBuffer Overflowを悪用し、Metasploit Frameworkに慣れ親しむことができます。

進行路上のほか、探して行かなければならないサイドクエストにも、多くのフラグがあります。

このPenetration Tester Level IIラボでは、以下の項目にプレイヤーをさらします:

  • 列挙

  • エクスプロイト開発

  • 横方向の移動

  • 特権の昇格

  • Webアプリケーションの攻撃


こちらの回答で解決しましたか?