[译]Veil-Pillage

原文地址：[url]http://resources.infosecinstitute.com/post-exploitation-using-veil-pillage/[/url]

Veil-Pillage是veil框架的一部分，用来进行后渗透测试。它由一系列可以在目标机器上进行各种任务的模块组成。它有类似msfconsole那样的接口和命令，所以不会觉得陌生。

从github进行安装：

git clone https://github.com/Veil-Framework/Veil.git

然后进行Veil文件夹，执行update.sh脚本。它将会进行下载和setup。
一切就绪后，进入Veil/Veil-Pilage/文件夹，执行Veil-Pilage.py脚本
在Veil-Pillage中设置目标和登陆口令

set targets 10.0.0.11set creds Administrator:admin

可以在同一行中使用逗号分隔多个目标和口令。
[img]http://dl2.iteye.com/upload/attachment/0105/5122/17c9852a-2f41-35cb-8b23-9813dc3d9fd0.png[/img]
使用下面的命令将攻击者者的IP设为lhost

setg lhost 10.0.0.14

[img]http://dl2.iteye.com/upload/attachment/0105/5124/56119421-5439-3b73-bae0-a6a123fdce79.png[/img]

Veil-Pillage的60个模块分为7类。
tab键补全命令
[img]http://dl2.iteye.com/upload/attachment/0105/5126/cb24c600-3c3d-3041-a0ed-9c53a295df69.png[/img]
使用credentials/autograb来获得目标机器上的user hash
[img]http://dl2.iteye.com/upload/attachment/0105/5128/37c70448-aa48-34c7-a827-c23329b883a1.png[/img]
force_method被置为none，这样该模块就可以首先使用PowerShell脚本"autograb.ps1"，如果失败，那么它将会使用binary技术。
首先看到攻击者的IP被置为10.0.0.14，是由我们早先使用的“setg lhost” 命令设置的。回车执行该模块
[img]http://dl2.iteye.com/upload/attachment/0105/5130/22a1b8de-3158-3860-bd6f-5fbe5e2741bc.png[/img]
在上面截屏中，首先高亮的是PowerShell在受害者的机器上找到了，并且将会用它来执行AutoGrab模块。然后将会下载PowerShell脚本并且从第二个高亮的HTTP路径安装，它是由攻击者的Veil-Pillage提供的。
模块执行后，将会出现类似如下的截屏。它显示AutoGrab执行后存放的路径(文件名是模块执行的时间戳)。
[img]http://dl2.iteye.com/upload/attachment/0105/5132/21d848e0-6451-3fec-8ef8-5ee60e4533ed.png[/img]
“y”显示命令的输出
[img]http://dl2.iteye.com/upload/attachment/0105/5134/b883f690-5093-32e9-a8d1-83e7d749c606.png[/img]
该模块不仅可以用来dump本地系统的hash，而且可以用来获得其他hash以及内存中的文本密码和公开的密码文件
类似本模块的是“credentials/hashdump”和 “credentials/powerdump”模块，可以用来dump本地系统的hash。
下一个模块是后渗透测试阶段很流行的模块“credentials/mimikatz”
[img]http://dl2.iteye.com/upload/attachment/0105/5136/6553cffb-f456-3ecc-8d10-c25f630eeed2.png[/img]
执行模块等待它完成获得输出：
[img]http://dl2.iteye.com/upload/attachment/0105/5138/806e4cdc-740b-3e66-9c99-41633b1340d2.png[/img]
读取输出
[img]http://dl2.iteye.com/upload/attachment/0105/5140/a2d36882-4657-3a95-9e3f-77ad6d52f298.png[/img]
Mimikatz模块获得两个登陆user的口令“Administrator”和“slave”。Mimikatz的一个最大的优点是它在内存中执行，不写入文件。同时他也可以dump其他的数据，例如Kerberos tickets，如果它存在于内存中。
[color=blue]Enumeration [/color]类包含用于枚举域和host的模块。允许攻击者获得关于受害机器的更多信息
如果你有一些收集的登陆口令，那么可以使用enumeration/host/credential_validation来验证这些口令是否存在于受害机器
[img]http://dl2.iteye.com/upload/attachment/0105/5143/584e5096-fe34-3944-a768-889b07ab81cc.png[/img]
“set targets target1,target2,target3,…”用来设置多个目标，同样的“set creds username1:password1,username2:password2,…“用来设置多个口令
关于“enumeration/host/enum_host” 模块的详细信息：
[img]http://dl2.iteye.com/upload/attachment/0105/5146/24220863-8dfe-3e6f-90c3-9b68181859fc.png[/img]
该模块接收“out_file”选项，允许指定模块在受害机器上临时存储的文件名。攻击者接收到的输出是文本文件。
[img]http://dl2.iteye.com/upload/attachment/0105/5149/25f0569e-9d86-3dca-8eff-794cd28be0ef.png[/img]
文件包含下列信息
ipconfig (network connectivity – IP address, interfaces, etc.)
ARP table
User accounts
Currently logged-in users
Netstat (TCP & UDP)
Currently running processes
System information

Veil-Pillage含有“enumeration/host/detect_powershell“模块用来确定目标机器上是否按有PowerShell。
[img]http://dl2.iteye.com/upload/attachment/0105/5151/30d5e26a-a984-3f9f-b74e-a7dcb3fa0a9a.png[/img]
类似该模块的是enumeration/host/detect_powershell_install，它只用来查找PowerShell是否存在。
“enumeration/host/etw_results”和“enumeration/host/etw_wininet“是两个有意思的模块。ETW表示Event Trace for Windows。这两个模块用来从windows中获得event logs和获得cookies以及IE浏览器post的参数。
当类似认证cookie这类的敏感信息可以从受害者机器上获得的时候这类模块就会很有用。
[img]http://dl2.iteye.com/upload/attachment/0105/5153/2f638d35-c37b-3a31-8af9-3a18b244a75a.png[/img]
使用impacket/psexec_shell模块可以轻松的获得一个和受害者机器交互的shell
[img]http://dl2.iteye.com/upload/attachment/0105/5155/b0a49c23-fd44-3322-8074-1b5de8b4e8ed.png[/img]
因为我拥有受害者机器的管理员口令，并且使用psexec模块，我可以获得一个SYSTEM权限的shell。
[img]http://dl2.iteye.com/upload/attachment/0105/5157/6b8f7bcd-591b-367a-8adc-c7004111f922.png[/img]
该模块可以很方便的创建一个交互式shell并且及其省时间。
“impacket/smb_shell“将会给你一个交互式SMB shell
[img]http://dl2.iteye.com/upload/attachment/0105/5159/e1095f3a-a54e-343a-b26d-97059b60369a.png[/img]
[img]http://dl2.iteye.com/upload/attachment/0105/5161/33f75bf2-b612-3c59-ab20-77e7cf7c78dc.png[/img]
“impacket/smbexec_shell“是一个半交互的shell
[img]http://dl2.iteye.com/upload/attachment/0105/5163/32c999ff-b239-3020-b563-24a9c2fb6f02.png[/img]
称它为半交互是因为如果你执行一个有很多输出的命令，它将会crash，但是命令在受害者的机器上执行了。
使用[color=blue]Management[/color]模块来进行开启/禁止参数和设置参数。
使用“management/check_uac”模块检查受害者及其上是否设置了UAC
[img]http://dl2.iteye.com/upload/attachment/0105/5165/37994aa1-fdef-3fbe-a207-dbafaaa85b58.png[/img]
如下所示，受害者机器上UAC被禁止了
[img]http://dl2.iteye.com/upload/attachment/0105/5167/43eacb6c-2abc-385a-94a0-7ee354ef8ab0.png[/img]
使用 “management/enable_uac”模块可以开启UAC
[img]http://dl2.iteye.com/upload/attachment/0105/5169/cb9bb90b-cd8d-31ad-8609-e9e55efe3f6f.png[/img]
使用“management/check_uac”再次检查UAC状态：
[img]http://dl2.iteye.com/upload/attachment/0105/5171/838aba74-3f09-33b0-a49a-1bd56dc49596.png[/img]
为了使用/开启远程桌面，我们可以使用“management/enable_rdp“模块
[img]http://dl2.iteye.com/upload/attachment/0105/5173/ba592a46-02b4-3d44-9f6e-7ff5e15f2930.png[/img]
“management/enable_proxy“指向攻击者控制的代理机器来来拦截流量。
[img]http://dl2.iteye.com/upload/attachment/0105/5175/73dee5d7-0374-396d-bdb2-fa7bccdcdc53.png[/img]
由于SSL证书问题，在拦截SSL请求时出错。
[img]http://dl2.iteye.com/upload/attachment/0105/5177/eea56ff3-ed88-30e6-957e-41e752aa9274.png[/img]
Payload Delivery含有可以用来上传/执行例如Meterpreter或者windows可执行程序这类模块。
payload_delivery/exe_delivery可以用来上传可执行文件以及在windows上执行可执行文件。
使用Veil-Evasion生成Meterpreter exe文件，如下所示，Veil-Evasion生成一个Meterpreter可执行文件以及rc文件
[img]http://dl2.iteye.com/upload/attachment/0105/5179/7ceec37f-0900-3aa2-a14f-3cbbeecb20a1.png[/img]

配置模块来upload生成的exe文件在受害者机器上执行。
[img]http://dl2.iteye.com/upload/attachment/0105/5181/d253196a-a21b-3c2a-9318-7a5ea1c1cf84.png[/img]
程序执行完成后，将会显示一个清除路径
[img]http://dl2.iteye.com/upload/attachment/0105/5183/ad847d7e-87e6-33bc-bae9-0abdb302a293.png[/img]
我们可以检查msfconsole，它是由我们先前使用rc文件调用
[img]http://dl2.iteye.com/upload/attachment/0105/5185/5846ad84-3b35-384e-9625-d76aa5e382e3.png[/img]
当我们使用完Meterpreter想清除文件时，我们可以执行cleanup＋上图的路径来清除。
[img]http://dl2.iteye.com/upload/attachment/0105/5187/6af9f2bf-046d-3098-94f6-683a5fb7318c.png[/img]
[color=blue]Persistence[/color]用来维护与受害者机器的连接。可以使用 “persistence/add_local_user” 模块
[img]http://dl2.iteye.com/upload/attachment/0105/5189/8fdb74bc-fe3f-399c-b47e-2777bb458a03.png[/img]
当模块执行时，会创建一个user。最好的地方是当你想删除user时可以使用clean脚本。
[img]http://dl2.iteye.com/upload/attachment/0105/5191/1ce662e4-20ec-3820-a26d-de166a6a2798.png[/img]
在“management/run_command”模块中使用“net users”命令来获得user列表或者使用“credentials/hashdump”来dump user列表及其对应的登陆hash。
一个古老且流行的后门是Sticky Keys。可以使用“persistence/sticky_keys”和“persistence/sticky_keys_exe”模块制作Sticky Keys后门。前者将会显示一个CMD，后者将会使用你希望的任何可执行程序来替换“sethc.exe”，例如Meterpreter。同样他们都可以使用cleanup命令来恢复原来的“sethc.exe”文件。

最后一类是[color=blue]PowerSploit[/color]，不再叙述。

[译]Veil-Pillage相关推荐

java程序a-z b-y_有一行电文，以按下面规律译成密码： A---Z a---z B---Y b---Y C---X c---x …… 即第1个字母编程第26个字...
有一行电文,以按下面规律译成密码: A--->Z a--->z B--->Y b--->Y C--->X c--->x -- 即第1个字母编程第26个字母,第i个字 ...
[译] ASP.NET 生命周期 – ASP.NET 上下文对象（六）
使用 HttpApplication 对象 ASP.NET 框架中的许多类都提供了许多很方便的属性可以直接映射到 HttpContext 类中定义的属性.这种交叠有一个很好的例子就是 HttpAppl ...
【译】Monolith first —— Martin Fowler 对于微服务架构的看法
转载文章,文章经 LiteCodes 授权,转载至本博客. 原文地址:[译]Monolith first -- Martin Fowler 对于微服务架构的看法整体架构先行(Monolith fir ...
TWAIN Specification Chapter 4 “Advanced Application Implementation”译——应用程序端的高级实现...
本文是对TWAIN规范的第四章<应用程序端的高级实现>的翻译.因工作需要了解TWAIN,所以顺便译了一下.这是私人工作,您可以参考,但本人不保证不存在翻译的差错或不合宜.如果您发现有不妥的 ...
(C++)第一个字母变成第26个字母，第i个字母变成第（26-i+1)个字母，非字母字符不变。要求根据密码译回原文，并输出。
题目描述有一行电文,已按如下规律译成密码: A–>Z a–>z B–>Y b–>y C–>X c–>x - - 即第一个字母变成第26个字母,第i个字母变成第(2 ...
Express4.x API (四)：Router (译)
Express4.x API 译文系列文章 Express4.x API (一):application (译) -- 完成 Express4.x API (二):request (译) -- 完成 ...
全球首个突破200种语言互译的翻译引擎，百度翻译打破世界沟通壁垒
机器翻译作为人工智能关键技术之一,正日益成为企业智能化升级的重要应用场景.12月1日,百度大脑开放日举办了以"机器翻译沟通全世界"为主题的专场活动. IDC 中国副总裁兼首席分析 ...
用AI实现C++、Java、Python代码互译，运行成功率最高达80.9%
晓查发自凹非寺量子位报道 | 公众号 QbitAI 还记得美国前一阵要招聘60岁的老程序员吗?都怪编程语言发展太快! 因为新冠疫情的缘故,美国一些地区的失业救济系统不堪重负,而这些系统都是上 ...
[译]从零开始成为数据科学家的9个步骤
[译]从零开始成为数据科学家的9个步骤原文链接:http://www.datasciencecentral.com/profiles/blogs/9-steps-to-become-a-data-s ...
Jabba: hybrid error correction for long sequencing reads using maximal exact matches机译：Jabba：使用最大精
Jabba: hybrid error correction for long sequencing reads using maximal exact matches 机译:Jabba:使用最大精确 ...

[译]Veil-Pillage

[译]Veil-Pillage相关推荐

最新文章

热门文章