简述

原文：https://blog.zsec.uk/crto-review/
标题：Certified Red Team Operator (CRTO) - Red Team Ops I Review
（直译：认证红队操作员(CRTO)--红队行动一回顾）

作者：ANDY GILL

发布日期：2021年1月1日

---

因此，在我的圣诞假期，我决定从白天的工作中抽出一些休息时间，参加ZeroPointSecurity(ZPS)的回顾(RTO)课程。 截至01/01/2021，我已经通过了认证红队操作员Certified Red Team Operator(CRTO)的考试，这也是为2020年画上一个圆满的句号。

本帖是对教材、实验室和考试环境的概述和回顾(但由于是考试，细节方面的原因会很简单)。
我很惊讶于外面缺乏评论，因为有超过600名学生报名参加课程，在写这篇文章的时候，还有几篇来自参加考试的人的评论，有的细节很少，有的要求的内容很广泛。
* https://chosenhacks.com/certified-red-team-operator-course-review/
* https://v3ded.github.io/misc/certified-red-team-operator-crto-review
* https://chousensha.github.io/blog/2020/07/19/my-review-of-red-team-ops/
* https://anotherhackerblog.com/red-team-operator-review/
* https://medium.com/@chopicalqui/certified-red-team-operator-review-5de703d52f91
看过所有的书，v3ded肯定是最深入的一本，涵盖了他们参加课程/考试时的不同方面。

先决条件

在报名参加课程之前，值得注意的是，为了让你更好的成功，需要一些硬件和知识的先决条件。从技术角度来看，对PowerShell和C#的工作原理有一点了解是很有用的，但这两者都不是让你成功的硬性要求，因为课程内容会让你更好地了解每一个内容。另外，从技术角度来看，了解如何在Visual Studio中编译C#二进制文件是非常重要的（课程中会有解释，而且你会做很多）。

从硬件的角度来看，有两个虚拟机可以下载，一个是Kali，一个是Windows 10，我建议你对这两个虚拟机都要适应，因为你会在课程和考试中交替使用这两个虚拟机，因此所需的硬件最好是一台可以分配到6GB内存的笔记本电脑。我建议你使用16GB的内存，但同样你也可以使用8GB的内存，在磁盘需求方面，120GB是最低要求，但我建议你使用250GB的内存，以满足快照的需求（是的，我建议你在每个旗帜之后都要进行快照，以便在出现故障时能够轻松恢复）。

所需的虚拟机可以提前从以下网址下载（这两个都是公开的链接，所以不会提前给你链接而泄露任何课程细节）:
为了方便安装，请从以下网站抓取Windows 10镜像:

https://developer.microsoft.com/en-us/microsoft-edge/tools/vms/  

和一个Kali Linux镜像，来自:

https://www.offensive-security.com/kali-linux-vm-vmware-virtualbox-image-download/
在课程材料中，有两个针对两种操作系统的安装脚本，用于下载每台机器的相关工具。每个脚本都将以与正确的工具配合的方式配置操作系统，并实现从标准安装到在实验室中执行工具所需的无缝过渡。

概述

"红队行动是一门在线课程，教授基本原则、工具和技术，是红队的代名词。 学生将被授予访问课程材料（书面和视频格式）和访问完全沉浸式实验室的权利，在那里他们将学习和进行从OSINT到完全领域接管的攻击生命周期的每个阶段。" - ZPS

在报名参加课程时，根据你想要的实验时间长短，有三种选择。30天、60天和90天。由于我有几个星期的假期，我选择了30天（应该注意的是，如果你有时间，实验室是可以在这个时间内轻松完成的，显然这取决于你在课程前的经验，以及你是否把Red Team/Pentesting作为日常工作）。需要注意的是，无论你选择什么方案，你都可以获得实验室、资料和一次考试的机会。

需要注意的是，当您购买三者之一时，您会被提示输入一个开始日期和时间，这将触发一个自动过程，将在那个确切的时间通过电子邮件向您发送详细信息。您将无法在这个时间之前获得访问权，所以请记住这一点。您也不能更改开始时间，所以请谨慎选择。

一旦您注册后，您将在上面截图中指定的确切时间（或前后）收到材料。请注意，订单将作为待定，直到你说的时间，所以不用担心（我很困惑，在这也由Rastamouse确认这是所有良好的和预期）。

成本核算

在撰写本文时，不同选项的费用如下，在您付款之前，该网站不会向您显示最终价格，因此显示的费用不包括增值税（我在下表中做了方便的表格，向您显示 总成本公司增值税（VAT））。 此外，由于ZPS是一家英国公司，因此费用也以英镑为单位，因此，如果您是从英国境外注册，则可能需要考虑这一点，并且税费可能会更高。

如果你需要延期或重考，那么在写稿时的费用如下，一旦你报名，你会得到如何报名的信息。注意重考只有在你不及格的情况下才有可能，比如说你不能提前购买两次考试。

课程: 概述

总的来说，零点安全的CRTO课程还算不错，它针对的是那些对渗透测试有基本了解，并开始对红队有更多了解的人。对于大多数人来说，一个典型的学习路径可能是学习OSCP，然后进行课程，并实现他们的CRTO，但它不是强制性的，首先采取OSCP，有些人可能会发现它更容易，只是做CRTO。

该课程涵盖了一些基础的红队技术，其中包括以下几个方面，这些都涵盖了，并通过实例指导，使学生能够按照自己的节奏进行学习。
* External Reconnaissance
* Initial Compromise
* Host Reconnaissance
* Persistence
* Local Privilege Escalation
* Domain Reconnaissance
* Credentials & User Impersonation
* Lateral Movement
* Session Passing
* SOCKS Proxies
* Reverse Port Forwards
* Data Protection API (DPAPI)
* Kerberos Abuse
* Group Policy Abuse
* MS SQL Server Abuse
* Domain Dominance
* Domain & Forest Trusts
* Bypassing Defences

课程:平台

该课程是托管在一个在线平台，称为canvas，作为一个在线学习环境与集成到badgr，学生可以跟踪他们的进度。实际的内容本身已经更新到一个积极的在线学习环境（我的理解是，在最初的发布是在一个PDF的形式2020年初）。

它不是强制性的注册badgr，但它确实使你获得虚拟成就的每一个模块，你完成和提交相关的标志（S）为每个任务。

只要完成课程，你就可以收集总共9枚獾徽章，此外，在所有9枚徽章都收集完毕后，还可以再收集一枚：:

除了完成课程外，当您完成考试(最低分数达到75%)并获得CRTO徽章时，您还将获得两个额外的徽章：

第一个是为了完成考试，如果你成功完成了实验室的所有徽章，加上考试完成，你将获得下面的红色团队运营I红色徽章：

eu.badgr.com
该平台还提供了评估的自动评分功能，这使得在整个课程中进行各种评估时获得轻松愉快的体验。这也意味着，当你提交考试的旗帜时，几分钟内就能知道你是通过了还是失败了，而不是连续等待数周。

该平台的各个部分被分成教学大纲中的每个主题，每个主题都有几个可以通读的例子。

有足够的内容可以帮助您入门，但是鼓励您学习更多的笔记和技巧，这些都是值得探索的。 即使您的实验室时间到期，课程和松弛访问也将保留，因为这是滚动课程，因此内容将随时更新。

课程：学习资料

总的来说，不同的部分大部分都解释的很清楚，但是有一些部分是非常多的情况下，这里是一个例子，现在去做其他的，没有额外的信息。 所有的材料都存放在Canvas上，这是学习平台。

我一开始觉得这些有点难，但在自己的实验室里站起来解决问题，并研究出它们在引擎盖下是如何工作的之后，它变得更有意义了。 现在并不是说，通过模块的方式是在自己的实验室中复制问题，但它确实有助于了解问题是如何创建的，以便利用它，有一个非常有用的Slack频道的课程提供给所有注册的人，在那里你可以提出问题。

该课程以书面例子和一些视频来展示不同C2工具上的各种技术的功能，在写这篇文章的时候，使用的两个工具是Covenant（开源）和Cobalt Strike（商业）。

欢迎你使用任何你喜欢的C2来进步，但这是材料中唯一支持的两个。我用PoshC2和Empire这两个开源的C2框架回溯了一遍内容。我这样做是为了能够更好的理解材料，以及不同的工具在不同的工作中是如何工作的，随着课程的不断更新，谁知道呢，也许Rasta会包括其他C2所需的步骤。

每个模块中都有几个部分解释了一个技术如何工作，需要什么工具，以及如何做每个C2，然而我发现有些部分只有一个或其他的说明，但不是两者。Rastamouse会带你通过一个例子，然后这个例子之后是一个评估（稍后会有更多关于实验室结构的内容）。一旦你做了一个评估，你将获得一个徽章（大多数），一些评估需要多个部分实现之前的徽章将被授予。

作为一门课程，总的来说，它是一个很好的起点，材料很好地解释了进行参与所需的核心主题。唯一缺少的是适当的评估，以衡量时间和记录保存，这是进行任何红队评估时的关键。

课程：实验

这个实验室是我遇到的比较好的一个实验室，材料帮助你穿越各种主机，每个模块都有几种方法来实现目标，结果实验室里有好几个主机，可以让你方便的进行pwnage!

Rastamouse在实验室里做得很好，因为它经常更新windows的更新和补丁，使你能够测试你的枚举技能，而不是弹出MS08或EternalBlue，你被迫枚举不同的主机，你登陆，材料作为一个伟大的指南，在哪里寻找的东西。

我注意到的一件事是， HTB上的Rastalabs (RL)是一个很好的对比，因为它也是他自己写的，而RL遵循的是一个类似CTF的场景，没有指导，RTO则更有指导性，可以让你尝试不同的技术。实验室内的机器都是运行Windows 10和Server 2016，并保持更新，与RL类似。

RTO实验室与其他如进攻性安全（OSCP等）实验室的一个关键区别是，为了获得不同的目标，你并不总是需要获得机器上的管理权限，而是通过技术和概念使你能够实现目标。

更类似于现实世界的参与，也像现实世界一样，很少关注获得域管理权，更多的是关注实现具体的目标，而这些目标在这个例子中是以标志的形式出现的。

实验室：Tradecraft

在穿越实验室方面，如前所述，命令和控制框架有两个支持的选项，在课程的初始运行过程中，我使用了Cobalt Strike。课程和实验室的一大特点是，重点不在特定的框架上，而更多的是可以灵活使用的工具，tradecraft在可能的情况下非常倾向于.NET和PowerShell。然而，由于我想尽可能多地从实验室中获得更多的东西，所以我选择了使用C#和反射式加载。

这也让我能够在Cobalt Strike上播放测试https://twitter.com/_EthicalChaos_的https://github.com/CCob/BOF.NET，如果你在日常工作中使用Cobalt Strike的话，它是非常棒的，值得一看。它的作用是替代execute-assembly，并能更容易地绕过AV检查和类似的检查，使你能在内存中自由操作。

实验室内几乎所有的工具都有C#变体，感谢SharpAllTheThings，有很多工具可以让你根据自己的喜好进行调整和编译，以便在实验室和工作中使用。当涉及到C#时，一个重要的注意点是，当我在实验室里注意到的东西是学生们在左、右、中心丢弃二进制文件，从这一切中，最重要的事情之一是OPSEC是重要的，所以清理后自己，如果你不需要，尽量不要把东西放在磁盘上。

社区：Slack

除了课程材料，注册还授予你访问ZPS slack的权限，它有几个频道，但课程的专用频道，人们可以就他们遇到的问题提问。我没有使用它太多，但当我提出问题时，有的人在现场帮助，这是可爱的。

它还有一个普通频道和一个通知频道，所以你可以看到你的实验室实例是否正在重启或已被重置（我用了几次来解决为什么我的信标已经死了！）。

与课程材料类似，在你的实验室时间到期后，你仍然保留对Slack的访问权，这意味着你可以与学生聊天，了解所有事情的进展。课程的新更新会通过电子邮件发送，但也会通过slack通知。

考试：我熬过了24小时的痛苦。

课程费用中包含一次考试，考试本身为48小时。考试中有四（4）个标志，您必须通过Canvas上的期末考试标志提交作业获取并提交。它们被命名为flag1.txt至flag4.txt，格式为RTO{flag}。为了通过考试并获得徽章，你需要至少有三（3）个标志（75%）。

我看过的其他关于该课程的评论都说考试很简单，有些人甚至说它比课程还简单。我可以向你保证，我并不觉得它容易，有一些部分比其他部分容易，但很多考试都是硬核的列举和发挥课程材料中的小细节。

一般来说，我的考试压力很大，通常都会失败，但庆幸的是这次第一次就通过了! 就课程教材与考试中的内容而言，考试中并没有什么课程中没有的内容，然而由于课程中的一些例子轻细节，考试内容就多了很多，这让我连续几个小时上网查了很多奇怪的错误信息! 现在回想起来感觉很像现实世界的情况。

如果你在看这篇文章，并考虑做课程和考试，我给你一个关键的建议是TAKE YOUR OWN NOTES，把不同的技术详细记录下来。另外，当你在实验室里有一个例子时，试着使用其他工具，就像在现实世界中一样，不是每项工作都只有一种工具可以用，在实验室里有多种工具可以用，你永远不知道它可能会对你有帮助。

考试本身是所有在线和不同的OSCP和其他考试没有书面内容，因此，所有需要的是标志，以通过，这需要一个负荷，通过它时，你的压力水平。再次与大多数的评论，我读到目前为止，完成的平均时间是在24小时以下，但你有48做它，所以有足够的时间。它也是开放的书，所以你可以访问互联网等，因为你会在现实世界中感谢。

我不能透露任何细节的具体内容在考试中，但我会说的是，虽然它可能会觉得像一个真实的世界的考试，有一定的步骤，可以采取，你可能不会做一个真正的参与，可能会帮助你。另外，在课程和考试中通过具体的场景工作时，以下资源真的帮助了我。
* https://www.ired.team/ - 这个网站上有很多提示，当你遇到任何问题时，这些提示都非常有用。
* https://book.hacktricks.xyz/windows/basic-powershell-for-pentesters - 由于我试图在可能的情况下使用C# tradecraft，我的powershell是最小的，但是这个网站有很多提示和技巧，一些单行线对枚举非常有用。
* http://www.harmj0y.net/blog/redteaming/a-guide-to-attacking-domain-trusts/ - 在课程中，有一整个模块是关于域名信托的，但细节可以借助harmj0y的博客进行更多的拓展。
* https://posts.specterops.io/offensive-lateral-movement-1744ae62b14f - SpectreOps 提供了一些很棒的内容，这篇博客文章对于枚举非常有用。
* https://github.com/hausec/Bloodhound-Custom-Queries - 这些额外的数字对bloodhound 来说是非常有用的！

总结

由于我的$dayjob由红队和紫队组成，课程很好地扩展了一些你不一定能练习到的主题。此外，增加了一个实验室来玩总是很有趣，并给了我一些想法，在我自己的家庭实验室中运行的场景。我希望这个认证能在社区内得到更多的认可，并可能与其他组织进行一些配对，使其进一步提升。

任何事情都有改进的空间，总的来说，内容很好。有一些部分可以扩展更多，但如果有的话，他们鼓励你去做自己的研究，以更好地理解主题，这不是一件坏事。

我真的很喜欢这门课程的整体内容，虽然考试很痛苦，但很有趣，让我久久不能忘怀! 就RTO与Rastalabs的难度而言，我想说RL比较难，纯粹是因为它没有指南一起。如果你没有做过任何一个，但又想同时做两个，那么我建议你先做RTO，让你在RL的CTF上有一定的地位。

考虑到我在圣诞节期间的休息时间，我只是花了30天的时间做了一个课程和考试，这是非常愉快的。感谢Rastamouse提供的精彩课程和内容。
https://twitter.com/_RastaMouse

干杯，伙计们，一个伟大的开始到2021年!