[译]Veil-Pillage

j4s0nh4ck

浏览: 287771 次

最近访客更多访客>>

XiaoPY

zhanchaomao1987

vicen888

prontosil

博主相关

博客

微博

相册

留言

关于我

文章分类

社区版块

存档分类

博客分类：

后渗透测试

原文地址：http://resources.infosecinstitute.com/post-exploitation-using-veil-pillage/

Veil-Pillage是veil框架的一部分，用来进行后渗透测试。它由一系列可以在目标机器上进行各种任务的模块组成。它有类似msfconsole那样的接口和命令，所以不会觉得陌生。

从github进行安装：

git clone https://github.com/Veil-Framework/Veil.git

然后进行Veil文件夹，执行update.sh脚本。它将会进行下载和setup。
一切就绪后，进入Veil/Veil-Pilage/文件夹，执行Veil-Pilage.py脚本
在Veil-Pillage中设置目标和登陆口令

set targets 10.0.0.11
set creds Administrator:admin

可以在同一行中使用逗号分隔多个目标和口令。

使用下面的命令将攻击者者的IP设为lhost

setg lhost 10.0.0.14

Veil-Pillage的60个模块分为7类。
tab键补全命令

使用credentials/autograb来获得目标机器上的user hash

force_method被置为none，这样该模块就可以首先使用PowerShell脚本"autograb.ps1"，如果失败，那么它将会使用binary技术。
首先看到攻击者的IP被置为10.0.0.14，是由我们早先使用的“setg lhost” 命令设置的。回车执行该模块

在上面截屏中，首先高亮的是PowerShell在受害者的机器上找到了，并且将会用它来执行AutoGrab模块。然后将会下载PowerShell脚本并且从第二个高亮的HTTP路径安装，它是由攻击者的Veil-Pillage提供的。
模块执行后，将会出现类似如下的截屏。它显示AutoGrab执行后存放的路径(文件名是模块执行的时间戳)。

“y”显示命令的输出

该模块不仅可以用来dump本地系统的hash，而且可以用来获得其他hash以及内存中的文本密码和公开的密码文件
类似本模块的是“credentials/hashdump”和 “credentials/powerdump”模块，可以用来dump本地系统的hash。
下一个模块是后渗透测试阶段很流行的模块“credentials/mimikatz”

执行模块等待它完成获得输出：

读取输出

Mimikatz模块获得两个登陆user的口令“Administrator”和“slave”。Mimikatz的一个最大的优点是它在内存中执行，不写入文件。同时他也可以dump其他的数据，例如Kerberos tickets，如果它存在于内存中。
Enumeration 类包含用于枚举域和host的模块。允许攻击者获得关于受害机器的更多信息
如果你有一些收集的登陆口令，那么可以使用enumeration/host/credential_validation来验证这些口令是否存在于受害机器

“set targets target1,target2,target3,…”用来设置多个目标，同样的“set creds username1:password1,username2:password2,…“用来设置多个口令
关于“enumeration/host/enum_host” 模块的详细信息：

该模块接收“out_file”选项，允许指定模块在受害机器上临时存储的文件名。攻击者接收到的输出是文本文件。

文件包含下列信息
ipconfig (network connectivity – IP address, interfaces, etc.)
ARP table
User accounts
Currently logged-in users
Netstat (TCP & UDP)
Currently running processes
System information

Veil-Pillage含有“enumeration/host/detect_powershell“模块用来确定目标机器上是否按有PowerShell。

类似该模块的是enumeration/host/detect_powershell_install，它只用来查找PowerShell是否存在。
“enumeration/host/etw_results”和“enumeration/host/etw_wininet“是两个有意思的模块。ETW表示Event Trace for Windows。这两个模块用来从windows中获得event logs和获得cookies以及IE浏览器post的参数。
当类似认证cookie这类的敏感信息可以从受害者机器上获得的时候这类模块就会很有用。

使用impacket/psexec_shell模块可以轻松的获得一个和受害者机器交互的shell

因为我拥有受害者机器的管理员口令，并且使用psexec模块，我可以获得一个SYSTEM权限的shell。

该模块可以很方便的创建一个交互式shell并且及其省时间。
“impacket/smb_shell“将会给你一个交互式SMB shell

“impacket/smbexec_shell“是一个半交互的shell

称它为半交互是因为如果你执行一个有很多输出的命令，它将会crash，但是命令在受害者的机器上执行了。
使用Management模块来进行开启/禁止参数和设置参数。
使用“management/check_uac”模块检查受害者及其上是否设置了UAC

如下所示，受害者机器上UAC被禁止了

使用 “management/enable_uac”模块可以开启UAC

使用“management/check_uac”再次检查UAC状态：

为了使用/开启远程桌面，我们可以使用“management/enable_rdp“模块

“management/enable_proxy“指向攻击者控制的代理机器来来拦截流量。

由于SSL证书问题，在拦截SSL请求时出错。

Payload Delivery含有可以用来上传/执行例如Meterpreter或者windows可执行程序这类模块。
payload_delivery/exe_delivery可以用来上传可执行文件以及在windows上执行可执行文件。
使用Veil-Evasion生成Meterpreter exe文件，如下所示，Veil-Evasion生成一个Meterpreter可执行文件以及rc文件

配置模块来upload生成的exe文件在受害者机器上执行。

程序执行完成后，将会显示一个清除路径

我们可以检查msfconsole，它是由我们先前使用rc文件调用

当我们使用完Meterpreter想清除文件时，我们可以执行cleanup＋上图的路径来清除。

Persistence用来维护与受害者机器的连接。可以使用 “persistence/add_local_user” 模块

当模块执行时，会创建一个user。最好的地方是当你想删除user时可以使用clean脚本。

在“management/run_command”模块中使用“net users”命令来获得user列表或者使用“credentials/hashdump”来dump user列表及其对应的登陆hash。
一个古老且流行的后门是Sticky Keys。可以使用“persistence/sticky_keys”和“persistence/sticky_keys_exe”模块制作Sticky Keys后门。前者将会显示一个CMD，后者将会使用你希望的任何可执行程序来替换“sethc.exe”，例如Meterpreter。同样他们都可以使用cleanup命令来恢复原来的“sethc.exe”文件。

最后一类是PowerSploit，不再叙述。