Offshore
Offshore (오프쇼어) 는 현실 세계의 기업 환경으로, 다양한 현대 Active Directory (액티브 디렉터리) 결함과 잘못된 구성이 특징입니다. Offshore Corp (오프쇼어 코프) 는 금융 규제 기관의 규정 요건으로 분기별 침투 테스트를 수행해야 하며, 패치에 집중하고 있습니다. 이 회사는 여러 인수를 완료하였으며, 인수한 기업들은 도메인 신뢰를 통해 "플러그인" 된 것입니다.
당신은 퍼imeter를 침투하고 기지를 확보할 수 있다면, 기업 환경을 탐색하고 신뢰 경계를 넘나드는 동시에 모든 Offshore Corp 개체를 compromise (손상) 하도록 지시받았습니다.
Offshore (오프쇼어) 는 Active Directory 열거, exploitation (악용), 포스트 악용, 그리고 lateral movement (측면 이동), 피봇팅, 현대 웹 애플리케이션 공격 등을 이해하는 데 대한 여러분의 이해를 시험할 것입니다. 이 실습에서는 랩을 진행하기 위해 일부 flag (플래그) 를 필수적으로 획득해야 하며, 다른 flag 는 열거 및 포스트 악용 기술을 강화하는 사이드 퀘스트입니다.
이 Penetration Tester Level III (페네트레이션 테스터 3급) 랩은 플레이어들에게 다음을 노출시킬 것입니다:
열거
엔드포인트 보호 회피
다양한 현실 세계의 Active Directory 결함의 exploitation
측면 이동 및 신뢰 경계 넘기기
권한 상승
웹 애플리케이션 공격
RastaLabs
RastaLabs (라스타랩스) 는 red team simulation (레드팀 시뮬레이션) 환경으로, 참여 기술을 배우고 연마하기 위해 공격되는 것을 목표로 합니다. 이 회사는 보안 및 침투 테스트 서비스를 제공하며, 각 참여 전, 중, 후에 umfangreiche (폭넓은) 전문 지식과 유연성, 그리고 포괄적인 지원을 제공합니다. 그들은 당신의 서비스를 사고팀 평가와 함께, 그들의 보안된 Active Directory 환경에서 수행하기 위해 등록하였습니다.
이 challenging (도전적인) 한 랩의 목표는 기지를 확보하고 권한을 상승하여 persistence (지속성) 을 확립하고 lateral 이동을 수행하여 Domain Admin (도메인 관리자) 의 목표에 도달하는 것입니다. 이 과정에서 많은 flag 를 획득하고 다양한 배지를 얻어야 합니다.
이 Red Team Operator Level I (레드팀 오퍼레이터 1급) 랩은 플레이어들에게 다음을 노출시킬 것입니다:
Active Directory 열거 및 exploitation
다양한 lateral 이동 기술
엔드포인트 보호 회피
exploit 개발
지속성 기술
피싱
권한 상승
Cybernetics
Cybernetics (사이버네틱스) 는 몰입형 기업 Active Directory 환경으로, 고급 인프라를 특징으로 합니다. Cybernetics LLC 는 자사의 환경에 대한 red team 평가를 수행하기 위해 당신의 서비스를 enlist (연대) 했습니다. Cybernetics 는 이제까지 여러 pentest (펜트레스트) 참여를 거치며 환경을 단단히 하였고, 따라서 보다 성숙한 보안 자세를 가지고 있습니다. 다양한 protection 기술이 존재하며, 모던 운영 체제는 완전히 업데이트되었습니다. 이 실제 시나리오에서 이 기업은 Microsoft 및 DevOps/automation 기술에 초점을 맞추고 있습니다.
이는 여러분을 한계까지 밀어붙이고, 열거, exploitation, lateral 이동, persistence, 그리고 권한 상승에서 여러분의 기술을 시험할 매우 도전적인 환경입니다.
이 과정에서는 main attack 경로와 다른 사이드 퀘스트에서 flag 를 많이 획득해야 합니다.
이
Professional Labs (프로페셔널 랩)는 고객들이 기업 규모의 네트워크 환경에서 해킹을 연습할 수 있는 공간을 제공합니다. 이러한 랩은 표준적인 단일 기기 형태의 컨텐츠를 훨씬 초월하여, 다양한 서브넷, 기술, 수십 대의 기기들을 포함하는 시뮬레이트된 기업 네트워크를 제공합니다.
Hack The Box (핵 더 박스)는 Business (비즈니스)와 Individual (개인) 고객들에게 여러 시나리오를 제공합니다. 각 시나리오는 다른 기술 요구사항, 학습 목표, 난이도 레벨을 제공하며, 초보자 친화적인 것부터 고급 레벨까지 다양합니다.
만약 특정 시나리오에 대해 더 알고 싶거나 질문이 있다면, Hack The Box Sales Team (핵 더 박스 영업팀)에 문의할 수 있습니다.
Zephyr - NEW! (제퍼 - 새로운!)
Zephyr (제퍼)는 중급 레벨의 레드 팀 시뮬레이션 환경으로, 공격을 당하고자 학습하고 참가자들의 Active Directory (액티브 디렉터리) 열거 및 공격 스킬을 향상시키기 위해 디자인되었습니다. Zephyr은 기업 환경에 대한 기점을 찾기 위해, 다양한 Active Directory의 취약점과 잘못된 구성을 포함하고 있습니다.
Zephyr Server Management (제퍼 서버 매니지먼트)는 Painters (페인터스) 기관이 자신들의 인프라를 적극적으로 유지보수하기 위해 고용한 회사입니다. 이들은 분기별 침투 테스트를 진행해야 하며, 양 회사의 네트워크가 완전히 Compromised (탈취)될 수 있는 잠재적인 취약점을 적극적으로 탐지하기 위해 당신을 고용했습니다. 당신의 역할은 기업 환경을 탐색하고, Trust Boundaries (신뢰 경계)를 넘나들며, 최종적으로 모든 Painters와 Zephyr Server Management 엔티티를 Compromise 하는 것입니다.
이 Red Team Operator Level I (레드 팀 오퍼레이터 레벨 1) 랩은 참가자들에게 다음을 노출시킬 것입니다:
열거
다양한 실제 Active Directory 취약점의 공격
릴레이 어택
측면 이동 및 Trust Boundaries 넘나들기
피벗(정보 이동)
SQL 어택
패스워드 크래킹
권한 상승
웹 애플리케이션 어택
Genesis
Genesis (제네시스)는 OWASP Top 10 (오와스프 탑 10) 취약점, 일반적인 권한 상승 기술, 그리고 현실 세계에서의 보안 잘못된 구성을 다루는 이deal first lab (이상적인 첫 번째 랩)입니다. 이는 해당 취약점들을 어떻게 공격할 수 있는지, 중요한 것은 어떻게 완화할 수 있는지를 다룹니다.
Genesis LLC는 창업 단계의 사이버 보안 회사입니다. 서비스를 이용하기 전에, 잠재적인 클라이언트가 세이퍼덕스 네트워크의 internal pentest (내부 침투테스트) 리포트를 요청했습니다. Genesis는 자사의 내부 인프라의 보안을 평가하고, pentest 리포트를 작성하기 위해 당신에게 업무를 맡겼습니다. 그들은 먼저 10.10.110.0/24
대역을 평가한 후에 네트워크를 넘어서는 어떤 네트워크로 넘어가야 할지 결정하라고 합니다.
이 Penetration Tester Level I (페너트레이션 테스터 레벨 1) 랩은 참가자들에게 다음을 노출시킬 것입니다:
열거
익스플로잇 수정
측면 이동
완화 및 모범 사례
권한 상승
상황 인식
웹 애플리케이션 어택
Breakpoint
Breakpoint은 레드 팀 시뮬레이션(Red Team Simulation) 환경으로, 학습과 참여 기술을 갈고 닦기 위해 공격하는 것을 목표로 합니다. 이는 신입 침투 테스터들이 기술을 향상시키기 위해, 그리고 도전적인 랩을 통해 참여 기술을 갈고 닦기 위해 고안되었습니다.
BreakPoint LLC는 보안을 중요시하는 소프트웨어 개발 스타트업입니다. 그들은 당신에게 환경의 레드 팀 평가를 수행하는 서비스를 요청했습니다. 이 도전적인 랩의 목표는 기지를 확보하고 권한을 상승시켜 지속성을 확립한 뒤, 측면으로 움직여 도메인 관리자의 목표에 도달하는 것입니다.
이 레드 팀 오퍼레이터 레벨 II(Red Team Operator Level II) 랩은 플레이어들에게 아래 내용을 노출시킬 것입니다:
Active Directory 열거와 취약점 공격
코드 리뷰
엔드포인트 보호 우회
측면 이동
로컬 권한 상승
피싱 기술
상황 인식
VoIP(음성 통화 통합 통신) 취약점 공격
Dante
Dante는 초보자 친화적인 프로페셔널(Professional) 랩으로, 일반적인 침투 테스팅 방법론을 학습할 수 있는 기회를 제공합니다. Dante LLC는 당신에게 네트워크 감사 서비스를 맡겼습니다. 이 회사는 이전에 포괄적인 펜테스트를 실시하지 않았으며, 기술적 부채를 줄이고자 합니다. 실제 침해가 발생하면 수익 손실과 평판 훼손으로 이어질 수 있다고 우려하고 있습니다.
퍼미터를 침투한 후, 모든 호스트에 대해 관리적 통제를 획득할 때까지 네트워크를 탐색하고, 측면과 수직으로 움직여야 합니다. 이 과정에서 정보 수집과 상황 인식 능력을 향상시키며, Windows와 Linux Buffer Overflows(버퍼 오버플로우)를 악용하고, Metasploit Framework에 친숙해지며, 다른 것들도 배울 수 있습니다!
이 랩은 주요 공격 경로와 사이드 퀘스트 모두에게 플래그를 잡아야 함으로, 여러 개의 플래그가 준비되어 있습니다.
이 펜테스트러 레벨 II(Penetration Tester Level II) 랩은 플레이어들에게 아래 내용을 노출시킬 것입니다:
열거
익스플로잇 개발
측면 이동
권한 상승
웹 애플리케이션 공격