Ladon9.1.7利用SSL证书探测信息

l本文之前Ladon的WathCMS通过HTML源码、CSS样式、图片等信息识别目标CMS以及版本信息，但是遇到一些登陆口，什么信息都没有，无法确认是什么站点或设备，或者通过WebScan、PortScan等模块探测到banner为Cisco设备，或者通过OnlinePC探测到设备，但无法确认设备版本型号，不确定版本，就无法调EXP，特别是溢出类漏洞，mips内核的思科设备和arm内核的，它能一样吗，即使都是同一内核，如win7和win10，SMB溢出shellcode也是有很大差异的。或者说EXP是针对思科路由器的，而你正在访问的登陆口，是思科其它产品，你胡乱拿EXP去打，那也是肯定不成功的，EXP是公开的还好，要是0day，你就得知道，用一次少一次，用多了0day就被别人抓到，没多久可能就成了公开，当然我们探测的主要目的，是为了更好的开展下一步工作。某类设备多，就可以在上面多花些时间研究EXP，不重要或用的不多，就没必要花费时间精力去研究。

PS：不管是HW比赛，还是防护更高的渗透，信息收集都非常重要

SSL证书

SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。

探测原理

通过访问SSL端口获取SSL信息，默认端口为443，探测过程是一个正常ssl的请求服务器，服务器返回证书的过程，因此是不会被WAF、防火墙、EDR、XDR等产品拦截或报警。证书里可能会包含设备版本、组织机构、域名、机器名、路由器、CDN等等信息，当然也相当于变相探测存活主机的方法。

Ladon简介

大型内网渗透扫描器&Cobalt Strike，Ladon9.1.7内置160个模块，包含信息收集/设备识别/子域名/存活主机/端口扫描/服务识别/密码爆破/漏洞检测/漏洞利用。漏洞检测含MS17010/SMBGhost/Weblogic/ActiveMQ/Tomcat/Struts2，密码口令爆破(Mysql/Oracle/MSSQL)/FTP/SSH(Linux)/VNC/Windows(IPC/WMI/SMB/Netbios/LDAP/SmbHash/WmiHash/Winrm),远程执行命令(smbexec/wmiexe/psexec/atexec/sshexec/webshell),降权提权Runas、GetSystem、BadPotato、SweetPotato、ZfsPotato等，Poc/Exploit,支持Cobalt Strike 3.X-4.x插件化使用。

SSL证书探测设备、IP、域名、机器名、组织机构、CDN等信息

##### 159 SslInfo 证书探测设备、IP、域名、机器名、组织机构等信息Ladon https://k8gege.org SslInfoLadon k8gege.org SslInfoLadon k8gege.org:443 SslInfo 指定端口Ladon noping fbi.gov SslInfo 禁ping探测Ladon 192.168.1.1 SslInfoLadon 192.168.1.1:8443 SslInfo
##### 160 SslInfo 证书批量探测设备、IP、域名、机器名、组织机构等信息Ladon ip.txt SslInfo         IP列表Ladon url.txt SslInfo        URL列表Ladon 192.168.1.1/c SslInfo  C段探测Ladon 192.168.1.1/b SslInfo  B段探测

下面随便扫个C段，看通过ssl能获取哪些信息?

0x001 批量探测C段SSL证书

批量C段探测针对443端口，可以通过此方法确认C段站点是否和目标有关

以下目标使用cpanel证书，而且通过域名判断，该IP和目标毛关系都没有

0002 探测网站是否使用CDN

以fbi.gov为例，由于目标禁ping，所以我们使用noping参数，进行探测。该站点使用的是TLS 1.3，所以建议在Win8且装有.net 4.8或以上运行时系统上使用Ladon40.exe探测。在Win7系统或未安装.net 4.8的系统上探测时会报错"err: www.fbi.gov:443 调用 SSPI 失败，请参见内部异常"

PS：Ladon默认ping主机是否存活，再加载相应模块。当遇到目标禁ping时，我们需要使用noping参数，所以大家探测存活主机时，不要老是以是否ping通为标准了。

0x003 探测设备版本

不管思科路由或交换机部署在内网还是外网，有时访问只有一个登陆页面，无论从网页源码、样式、脚本或登陆页面信息，均无法确定目标版本型号。更有甚者https访问过去直接弹个401页面，无法确认是否是Cisco设置或型号，尝试查看SSL，发现部分Cisco型号信息在证书里。确定好目标版本后，就可以使用对应EXP打它，当然其它路由设备也可以探测。

0x004 探测FortiGate防火墙

0x005 探测Vmware EXS服务器

0x006 探测主机名/机器名

有时候通过机器名，也可判定是否目标，或是否重要机器

0x007 探测Tp-Link路由器

0x008 探测D-Link路由器

0x009 探测DrayTek路由器

若需要针对DrayTek版本探测或EXP，Ladon有专门模块，比该方法更好

0x010 探测QNAP存储设备

0x011 探测Amazon

0x012 探测GoDaddy

PS：还有一些扫描内网探测到的信息，包含组织名称、部门、地区等很多信息，图就不一一上了，大家自行实战，希望能获取到大家想要的信息。

.NET支持SSL版本

https://docs.microsoft.com/zh-cn/dotnet/framework/network-programming/tls

• 对于 TLS 1.2，在你的应用上面向 .NET Framework 4.7 或更高版本，在 WCF 应用上面向 .NET Framework 4.7.1 或更高版本。

• 对于 TLS 1.3，面向 .NET Framework 4.8 或更高版本。

• 不要指定 TLS 版本。配置你的代码，让操作系统来决定 TLS 版本。

• 执行全面的代码审核，以验证你未指定 TLS 或 SSL 版本。

PS: 由于.net运行时与SSL的兼容问题，建议使用Ladon40版本。

以前没细看,有时会遇到EXP打不了的站，原来是.NET对SSL版本的兼容问题，可能Ladon一些模块对于使用tls 1.3或tls 1.2的网站不兼容，等我有空再更新吧，一个一个来。从今天起，后续相关POC都会兼容tls 1.3的站点。

.NET  SSL兼容问题

1. Win7下即使装了.net 4.8，按照网上方法改注册表，也不定兼容tls 1.3
   

2. 由于自已实现ssl、tls 1.0、tls 1.1、tls 1.2、tls 1.3等协议不太现实，可能比较花时间也不能保证兼容性，所以我打算用python或其它语言再写一个，遇到目标为Win7或08系统时，通过ini来批量调用py程序来扫描。
   

3.尝试使用Chilkat发现确实兼容tls 1.3，WIN8.1下测试确实兼容net 2.0，依赖DLL高达13M，对于Ladon这种需要内存加载模块来说，并不是最佳解决方案，PY编译的EXE都没这么大。但最主要是测试WIN7就报以下错误，这我还不如直接.net 4.8原生的呢，代码少体积小。所以Chilkat暂不适用Ladon。

未处理的异常:  System.BadImageFormatException: 未能加载文件或程序集“ChilkatDotNet2, Version=9.5.0.90, Culture=neutral, PublicKeyToken=eb5fc1fc52ef09bd”或它的某一个依赖项。试图加载格式不正确的程序。文件名:“ChilkatDotNet2, Version=9.5.0.90, Culture=neutral, PublicKeyToken=eb5fc1fc52ef09bd”   在 netscan.Ladon.getcert()   在 netscan.Ladon.Main(String[] args)

原文始发于微信公众号（K8实验室）：Ladon9.1.7利用SSL证书探测信息