HTB Academy - CAPE - Review

MANESEC on 2025-04-23

最近我做了一個噩夢，我在夢裏夢見自己誤闖了一座陰森的魔王城，濃霧繚繞，危機四伏。而我，一個孤膽冒險者，必須先解決那些潛伏在暗影中的小弟——無數狡猾的漏洞與陷阱，才能直面那座城堡深處的終極魔王：Domain Controller（DC）。

這就是HTB CAPE（Certified Active Directory Pentesting Expert）考試，一場長達十天的暗黑奇幻試煉，將我扔進Active Directory的詭秘迷宮。每一道關卡都要求我施展禁忌魔法：Kerberos的咒語、NTLM的暗術、ADCS誤配置的詛咒。沒有捷徑，只有硬仗，我必須在這模擬的企業級網絡中步步為營，串聯攻擊路徑，破解層層防禦，還得獻上一份堪比聖騎士戰報的專業文書。城堡的環境時而崩塌，延遲如惡靈纏身，稍有不慎，攻擊鏈便斷裂，一切重歸黑暗。傳聞這試煉的凶險遠超其他AD認證，足以讓最勇猛的戰士魂飛魄散。魔王城的挑戰已在召喚，你，想嘗試踏入這場噩夢嗎？

是的，沒錯。這就是難度難到會爆炸的魔王考試（非常硬核的考試）。

注意 (Warning)

If you are taking the CAPE exam please close this page as it may make you more anxious.

如果你正在參加CAPE的考試請關閉這個頁面，因爲它可能會讓你更加的焦慮。

CAPE 的一些介紹

The HTB Certified Active Directory Pentesting Expert (HTB CAPE) is a highly hands-on certification assessing candidates' skills in identifying and exploiting advanced Active Directory (AD) vulnerabilities. HTB CAPE certification holders will possess technical competency in AD and Windows penetration testing, understanding complex attack paths, and employing advanced techniques to exploit them. HTB CAPE certification holders will demonstrate proficiency in executing sophisticated attacks abusing different authentication protocols such as Kerberos and NTLM and abusing misconfigurations within AD components and standard applications in AD environments such as Active Directory Certificate Services (ADCS), Windows Update Server Services (WSUS), Exchange, and Domain Trusts. Furthermore, they will be adept at leveraging specialized tools to exploit AD from Linux and Windows and utilizing Command and Control (C2) frameworks for post-exploitation operations. They will also be able to conduct internal penetration tests professionally against modern AD environments.

HTB認證的Active Directory滲透測試專家（HTB CAPE）是一個很實操的證照，主要是看看你能不能找出並搞定那些高難度的Active Directory（AD）漏洞。拿到這個證照的人，基本上在AD跟Windows滲透測試這塊很有料，能搞懂複雜的攻擊路徑，還會用高招去挖漏洞。他們很懂得怎麼利用Kerberos跟NTLM這些認證協議搞亂系統，或是找出AD裡的設定錯誤，還有像AD憑證服務（ADCS）、Windows更新服務（WSUS）、Exchange伺服器跟網域信任這些常見應用的弱點。還有，他們用Linux或Windows的專門工具來搞AD也很有一套，還會用C2框架在攻進去後繼續搞亂。總之，他們能很專業地在現代AD環境裡做內網滲透測試。

怎麽？看上去是不是很酷？~~但代價是痛苦的。~~

考試經歷

下面是列出考試的時間表：

第一天：攻打魔王
第二天：攻打魔王
第三天：攻打魔王
第四天：魔王倒下了，截圖，耍廢。
第五天：耍廢，屠龍，出去玩，寫報告，痛苦值 +20：寫報告是非常痛苦的一件事，尤其是這場考試。
第六天：耍廢，寫報告，痛苦值 +10，提交報告。

考官反饋

我從 2025-03-26 17:57:19 (UTC) 提交的報告，到 2025-04-22 19:24:00 (UTC) 才收到證書和報告，時隔接近1個月。

恭喜您通過 HTB Certified Active Directory Pentesting Expert (CAPE) 考試！現在您是 CAPE 認證的正式持有人。歡迎在 LinkedIn 等分享您的成就。這是您應得的！通過此工作角色路徑中的所有內容，並在此考試中獲得 100 分而掌握它，並整理出一份極為專業、適合客戶使用的報告文件，實在非同小可！
我們認為您的報告做得非常好。您很好地捕捉了每個弱點的描述和影響。您提供了可行的修復建議，讓我們身為 pentesters (重要的第三方稽核人員) 必須保持獨立性。
總體而言，您的報告非常出色、表達得體、精確、整齊且專業，以上的提示只是建設性的回饋。
再次祝賀您工作順利，並隨意炫耀您得來不易的證書！
謝謝您，Ben Rollin (mrb3n)

考試心得

這是我遇到最難的AD考試。感覺考試的内容有點超綱但又找不到超綱的理由。每個flag的攻擊鏈條都非常的長（是長得很可怕），這就導致寫報告的時候非常非常長，非常需要直覺和腦子。

爲什麽那些大佬們可以1-2天速通 CAPE考試？？？？？？？？？？？？？反正我真的做不到。

這個考試會帶給你帶來雙重折磨，第一個折磨是攻打大魔王，第二個折磨就是那個該死的報告。由於 attack chain 非常長，導致寫報告時的我生不如死。

寫報告的階段是要剋服心裏的壓抑程度。會經常抱怨爲什麽可以怎麽這麽長，怎麽還沒寫完，寫了一晚上才寫了三分之一。

是的，當你面對一份報告然後寫的是很無聊的東西，你就會開始分心，然後注意力無法集中，然後慢慢的拖到了最後一天，這就是我當時的狀態。

所以，我花了3天在報告上。（是的，我又在抱怨了）

關於考試的難度，我覺得和 APTLab 差不多，但好像又沒有這麽誇張，感覺難度在基於 Cybernetics 和 APTLab 之間吧。

你能學到什麽？

這些來自官方的内容。

高级AD枚举
高级AD攻击
滥用 AD协议
滥用 AD 信任
滥用 AD 配置错误
滥用常见AD组件
命令与控制 (C2) 操作
Windows 免殺
横向移动
高級的后滲透

不過當你深入的了解，所謂的高級 AD ，~~其實也就是。。~~ 不對，回過頭來看確實很高級。

我的學習

我花了1個月半去學習（某種程度上算是速通），裏面有很多内容由於平時練習都有玩過，所以我學的非常快。官方是推薦兩個月，但是如果你對AD沒有任何基礎的話，我覺得可能要半年（比如像我這樣懶一點的人），也有可能不止。而且只是學習CAPE的路綫遠遠不夠，背後的思考才是這場考試最難的地方。我有看過很多有一點基礎的人都用了3-4個月。

既然是硬核的AD，那麽肯定是有學到大量的東西的，我印象深刻的模塊是 SCCM的模塊和 WSUS的模塊，這兩個可以讓我接觸到平時沒有接觸過的東西。另外會在域中經常用到的 ExtraSids 也解釋得很棒。

缺點

Lab的環境有點卡，即使是EU的服務器，連上去丟包仍然很嚴重。另外經典的ADFS沒有出現在CAPE的學習路徑上。

我該如何準備？

看起來全都是高級的東西，我新手建議入手嗎？

非常不建議，這很明顯不是給新手准備的。如果你一點AD的知識都沒有，那麽真心非常不建議，即使你過了OSEP，CRTP，CRTE，CRTM。

我已經在DC上聽到很多人考試失敗，而且兩次也失敗了，考試是殘酷的。

如果你真的想入門AD，我推薦的路綫是 CPTS，CRTP，CRTE，CRTM，HTB Prolab，然後再挑戰CAPE。

上面的AD難度從左到右，難度依次遞增。

備注：其實我不是很想加入CRTP，CRTE的考試，因爲這兩個考試真的太簡單了，根本不夠知識去應付 CAPE。

不過 CRTM是值得的，但是 CRTM 的内容是 CRTP + CRTE，其考試的難度比CRTE還要簡單，因爲 CRTM本身不教太多的東西。

沒錯，我剛交完 CRTM 的考試報告，剛躺下去沒多久看了一下手機就收到了 HTB 的 CAPE 結果。

個人覺得 CRTP，CRTE，CRTM 的難度不足以應付 CAPE的考試，因爲太簡，關於 CRTM 的 review 你可以等個幾天看我的博客，我收到了結果也會説説關於AS系列的AD。

另外，在CAPE的考試中，經常會把幾個模塊串聯起來，所以腦子挺重要的。

我的一些可能你覺得有用的提示

考試之前請試一下 VPN 的節點延遲：經過我的測試，我最少在 200ms 左右。選一個節點低延遲的然後才開始，考試可以無限制重設，當然你也可以用pwnbox，至少我不喜歡用。
多睡覺：這可太重要了，睡眠不足會導致思考能力低下。
適當放鬆：這幾天考試我有出去玩和放鬆，這樣注意力才會比較集中。
考試有10個flag：10個都很困難，但是需要9個才可以通過考試。
筆記很重要：你可以嘗試開始紀錄筆記，看一下什麽筆記更適合你，筆記是記錄給你自己看的，而不是給別人看的。所以我建議找一種你適合的方式來記筆記。
不建議在下班的時候參加考試：因爲你會很疲倦，他不是簡單的考試。
提前準備免殺：可能對你的考試有幫助。
使用 sysreptor 寫報告：如果你想寫報告比較舒服，可以嘗試使用 sysreptor，在綫版注冊就可以使用。如果你用起來舒服一點的就可以嘗試 docker 版本，目前我用的是docker版本。
工具經常會爆炸：既然是高級的AD内容，那麽你要預計在滲透中所使用的工具可能會爆炸。所以掌握原理很重要，即使一個工具爆炸了也可以隨手換另一個工具。由於是開源的工具，所以有些工具的源代碼其實寫的非常的不好（這裏我就不透露啥工具了），所以在做的過程中可能需要修改源代碼使其工作。

問到爆的問題

如果我不考 CPTS 直接上手 CAPE 會怎樣？ 如果你精通AD的話，你會非常開心。如果你對AD不太熟悉的話，你會非常的痛苦。你考不考只取決於你。你覺得很能打的話直接入手就行了。
如果對比其他的考試，難度如何？ 目前這是我遇到的最困難的考試，CRTE都沒有這麽的難受。
我怎麽可以像你一樣這麽強？ 你現在就可以，記得走我的AFF報名，謝啦。
爲什麽它會被稱爲魔王？ 因爲他非常的難，很少人通過他的考試。
考試虛擬機的配置？ 建議給16G的内存，這樣用起來會比較舒服。如果不小心虛擬機死機了，那你需要花更多的無意義時間來修復你剛才完成的東西。
我打了多少的Prolab？ 大型的Prolab都打完了，截至目前剩下3個 mini-prolab，你可以從這裏可以看到我的進度。
我有看AD的書嗎？ 我沒怎麽看AD的書，因爲我不是個讀書的人，所以看不下一本書。我有嘗試看過AD的書，但是看完了明天就忘記了，我承認我不是讀書的料子。
過了 CRTE 適合參加考試嗎？ 不，和CAPE的難度還差好遠。
過了 CRTM 適合參加考試嗎？ 如果你參加了CRTM的考試，再配合一些prolab的練習，那麽就可以開始學習CAPE了。這也是我推薦的路綫之一，也是最好的吸收知識的路綫，當然要花點錢。

官方DC的一些精彩内容

某人：尋找一些人和我學習CAPE。
官方：請你自己學習模塊和每個章節，分組學習會跳過某些部分，并且依賴他人的答案。
某人：真是讓我大開眼界
官方：另一個選擇是 Cyber Helmets，有人帶著你學，但當然也需要點錢：https://cyberhelmets.com/product/cape/ 。

某人：我在這裡說過很多次了。在我看來，與 CAPE 相比，OSEP 就是個笑話。

一些大佬的 Review

截止2025年3月27日，翻遍了整個網絡就兩個 Review（不算上我的話）。。。

如何才可以知道有多少人通過了考試？

如果按照數字最小的話，我應該是第19個獲得CAPE的徽章，也就是第19個完成CAPE的考試。

點擊這裏可以查看有多少人通過了考試。

點擊這裏可以查看有多少人完成了路徑。

連接裏面的 Users earned this badge 就是完成的人數。

所以完成了路徑還沒有參加考試的人 = 完成路徑的人數 - 通過考試的人數。

未來的打算

對於HTB的證書，我會繼續準備 CWEE 的考試，因爲看起來就很好玩。

總結

最後還是説一句，這個課程很不適合新手。

這個考試確實是會讓你很痛苦很痛苦的一場考試。

如果你對 CAPE 有什麽想法，或者是迷茫的地方，可以直接發 email 給我，但請不要 email 我關於 CAPE 的考試問題，因爲我會直接永久黑名單 (However, please do not email me about CAPE exam questions, as I will simply blacklist you permanently) 。

什麽？你說你很强？很能打？那就來走我的AFF報名。

Good Luck ~