Ladon10.8一键渗透 多协议探测 可达网段、出网协议

admin 2023年2月21日02:43:23评论296 views字数 5314阅读17分42秒阅读模式

简介

Ladon模块化网络渗透工具,可PowerShell模块化、可CS插件化、可内存加载,无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描等。10.8版本内置198个功能模块,外部模块18个,网络资产探测模块30个通过多种协议(ICMPNBTDNSMACSMBWMISSHHTTPHTTPSExchangemssqlFTPRDPT3)以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、交换机、数据库、打印机等信息,高危漏洞检测16个包含Cisco、Zimbra、Exchange、DrayTek、MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列、Printer等,密码审计23个含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/webshell),Web指纹识别模块可识别155+(Web应用、中间件、脚本类型、页面类型)等,本地提权21+含SweetPotatoBadPotatoEfsPotatoBypassUAC,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

Ladon 10.8  20230218

Ladon 10.8  20230218[+]AllScan  所有模块一键渗透[+]ExpScan  多EXP自动GetShell[+]VulScan  多POC漏洞检测[+]InfoScan  多协议探测信息
[+]T3Info T3协议探测WebLogic版本 7001 7002端口 支持URL或IP:port参数[u]whatcms 重新添加7001 weblogic探测[u]webscan 传入IP时探测443 80端口 回显HTTPS HTTP[u]ms17010 只显示SMB信息 以免VulScan或AllScan太多重复信息
[-]bypassUAC bypassUAC2 Win10、11最新版失败 CS和911版保留[-]bypassUAC11 移除 因.net 4.0 只保留911
[u]Ladon.exe默认为48 Win11默认.net 4.8

PS:PowerShell、CobaltStrike等版本已同步更新

0x001 InfoScan 多协议探测存活主机、系统信息、可达网段、出网协议

##### 196 InfoScan多个模块探测系统信息Ladon 192.168.1.8/24 InfoScanLadon 192.168.1.8 InfoScan

为了能快速扫描A段,或大量B段,几千上万个C段,甚至国家网段,默认使用ICMP协议探测存活主机(系统PING命令就用ICMP协议),ICMP可达后再使用各种协议探测相关信息。

Ladon10.8一键渗透 多协议探测 可达网段、出网协议


Ladon Study 一键渗透 学习模式 使用效果

无需使用者了解Ladon模块命令,点击按钮即加载对应模块扫描,非常简单,由于工具是图形化界面,主要在本地使用或授权电脑接入内网检测使用,其它情况优先内存加载,被杀或拦截再上传命令行版至目标。

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

可以看到DNS、SSH、SSL、MAC等协议探测到Kali、Forite等系统,甚至Vmware虚拟机、各种设备等Ladon均可识别,也有人说NbtScan探测存活主机不错,是十几年前不错,现在当然也不错,因为windows默认都开启。所以在有些内网,使用ping扫不到机器时,用nbtscan探测到不少机器,就会觉得还不错。但对于熟悉Ladon的人来说,Nbt只是Ladon里面的一个模块,当你使用Ladon noping NbtInfo探测机器,就知道了,如果使用InfoScan,就会使用其它协议探测,对于Linux系统、网络设备、甚至关闭NBT的机器,Ladon一样能探测,只要目标开机,使用noping可绕过防火墙

不熟悉命令的,可勾选“点击按钮复制命令”,然后在CS或各种shell上执行

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

0x002 Ladon多协议穿墙探测、绕过防火墙探测

可能有人问Ladon默认先icmp探测,有一些主机禁ping怎么办?解决方案noping参数。如果是开启防火墙呢?解决方案也是noping。noping的意思是不ping目标主机,直接使用对应协议探测。优点是不少协议能绕过防火墙或禁ping主机,缺点就是扫A段或大量C段等速度很慢,所以使用时大家结合自己情况使用。如果只是扫几百个C段,几个B段这些都无所谓。InfoScan集厉了大量协议,不用大家一个协议一个协议的探测,非常方便。

##### 196 InfoScan多个模块探测系统信息Ladon noping 192.168.1.8/24 InfoScanLadon noping 192.168.1.8 InfoScan

当你开启防火墙后,使用以上命令探测目标,哪个协议能访问到目标主机,即代表目标哪些协议可穿透防火墙出网。哪个IP、哪些机器可上哪种协议的后门或C2、可用哪些横向移动工具一目了然。

不了解的同学可参考历史绕过防火墙探测文章

利用MAC绕过防火墙探测存活主机

利用Browser协议绕过防火墙探测主机信息


0x003 WebLogic批量GetShell漏洞复现

新增T3协议探测WebLogic版本,传入IP时探测7001 7002端口 支持URL或IP:port参数,该功能在LadonGo一直存在。

##### 195 T3协议探测WebLogic版本Ladon 192.168.1.8/24 T3InfoLadon 192.168.1.8:7001 T3InfoLadon http://192.168.1.8:7001 T3InfoLadon url.txt T3Info

通过Fofa或相关搜索引擎导出url.txt,但由于数据更新不及时的原因,有些URL可能已不是weblogic或者版本信息与上面不一致,这时需要使用Ladon进行精准探测,其它APP或产品也一样,可使用WhatCMS识别,确认版本好定制POC。对于指定目标内网或外网,相关搜索引擎也不定扫描到它们的C段,这种情况下同样需要Ladon,外网访问不到的内网就更不说了,相关搜索引擎更加识别不到。

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

探测目标确实使用weblgoic后,我们可POC或EXP指定IP

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

当然也可以不探测版本,直接使用WeblogicPoc模块批量探测漏洞,公开POC随便打不要钱,非指定目标也不怕拦,本身POC就公开,拦本就正常。

Ladon 192.168.1.8/24 WeblogicPocLadon http://192.168.1.8:7001 WeblogicPocLadon url.txt WeblogicPoc


Ladon10.8一键渗透 多协议探测 可达网段、出网协议

WebLogicExp一键GetShell

Ladon 192.168.1.8/24 WeblogicExp

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

默认植入的是Ladon的ua shell可过很多杀软,体积也非常小1k都不到,成功getshell后,大家再自行通过各种命令更换免杀好的其它webshell操作

连接WebShell执行命令

Ladon911 JspShell ua http://192.168.1.8/shell.jsp Ladon whoami

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

可以看到这名幸运观众为Linux系统,我们可以wget自己的其它shell到目标,更方便操作。windows就使用powershell等命令下载或直接上CS

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

后渗透的时就不用我教了,甚至进到内网,还可以再扫一波,外网都使用,搞不好内网可能也会有weblogic,不管任何时候都要懂得举一反一,吃黄豆拉豆芽,能打外网web,内网web也一样,别忘了Ladon最初设计就是专门针对内网的。但又有人误以为只能打内网,于是我又发了各种打外网的文章。

0x004 VulScan 多POC漏洞探测

如果你不熟悉相关漏洞,同样可以使用PocScan或VulScan一键检测目标存在哪些高危漏洞。如下图,针对指定IP,加载Ladon内置的很多POC检测漏洞。如本文没有提到的Struts2Poc,当然S2漏洞我已经很久没见到了,所以几乎没更新,内置POC基本为当初GUI上的POC,区别在于Ladon可批量检测。

Ladon10.8一键渗透 多协议探测 可达网段、出网协议


##### 197 VulScan PocScan多个远程漏洞检测Ladon 192.168.1.8/24 VulScanLadon 192.168.1.8 PocScanLadon http://192.168.1.8 PocScan
##### 198 ExpScan多个漏洞利用GetShellLadon 192.168.1.8/24 ExpScanLadon 192.168.1.8 ExpScanLadon http://192.168.1.8 ExpScan

同理ExpScan就不演示了,大家不清楚都有哪些模块,可查看Ladon Study

Ladon911版保留很多功能,但被杀得更历害,该版本建议本地实验使用

AllScan

该功能还没有完工,需要可用一个批处理实现或自写程序调用

AllScan.bat  填写各种模块命令 即可实现一键调用想要功能

Ladon noping 192.168.1.8/c MS17010Ladon noping 192.168.1.8/c SmbInfoLadon noping 192.168.1.8/c NbtInfoLadon noping 192.168.1.8/c ICMPLadon noping 192.168.1.8/c WebLogicPoc...省略......省略...Ladon noping 192.168.1.8/c ICMPLadon noping 192.168.1.8/c Strutus2PocLadon noping 192.168.1.8/c TomcatPoc::BruteLadon noping 192.168.1.8/c 401ScanLadon noping 192.168.1.8/c SmbScanLadon noping 192.168.1.8/c NbtScan



注意

这种批量做很多事的功能,不建议在防御强度高,管理员牛B的项目使用,大家应该都有过使用AWVS扫网站时,可能直接被封IP的情况吧,因为它发了成千上万个漏洞数据包探测目标。里面只要有1个POC是杀软拦截的,它就直接失去机会。还有另外一种一个POC都检测不到,但是通过请求速度,1秒内发包量来判定是否是攻击,而封你IP。又或者爆破密码,也被封IP,这种可能是管理员看到日志或有相关设备拦截了,在外网渗透犯这种错误,换个IP就能解决但在内网,这种无脑一上来就自动大量扫描的,一被发现,轻则当前控制机器不可达被你扫描的一些机器,重则当前机器权限丢失。因为各种日志系统均显示攻击IP来自某一台机器,大量的密码爆破,各种POC探测,WAF会有记录和提示的,有些是直接拦截自动封IP。更严重的是所有机器权限都丢失,有可能因为这种大动作,导致动员大家进行全面检查,然后所有机器权限全部丢失。如果你只拿了区区一个webshell或只控了一台机,这种入门的渗透方式就不要用了。所以这也是Ladon一直以为都不做全扫描的原因,但是想到有些目标管理员就是SB,随便搞也没事,还是加一下,对于不重要的可以节省不少时间。

但还是要明白一点,并不是所有项目的人都是SB,并不是每次的运气都那么好。当天没发现,一周内没发现,一个月没发现,不代表两个月不会发现。这种暴力方式全靠管理员SB,当然实战确实是90%都是SB。实战大家要结合自己的项目情况,可以先收集相关信息,分析下管理员能力来判定是否无脑全扫描。当然不只是说用Ladon有这风险,用其它工具也是一样,比如nmap以前我用也是从入门的全端口,到后来慢慢变成只扫一些端口。相信现在就算在使用nmap的人也很少扫全端口吧,你用nmap懂这个道理,用其它工具难道不同吗?

给大家的建议是,能用一个漏洞,能发一个包就能拿权限,就不要发几百个包,没人知道目标有什么防火墙,或者管理员什么时候看日志。同一个目标可能很多人在渗透在乱扫,管理员一眼看大量日志,你的只有几条,可能排查起来就看不到你的IP,你的存活时间就会更长一些。而不是过几天,管理员把什么协议封了,我这台机过不去了,管理员牛我们没话说,要是自己操作过程是这种很容易被发现的方法,那就不是管理员牛B了,是自己的问题。

,要


原文始发于微信公众号(K8实验室):Ladon10.8一键渗透 多协议探测 可达网段、出网协议

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年2月21日02:43:23
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ladon10.8一键渗透 多协议探测 可达网段、出网协议https://cn-sec.com/archives/1559401.html

发表评论

匿名网友 填写信息