Ladon 10.10 20230318 更新功能
[+]CitrixVer Citrix Gateway版本探测 发布日期、版本号、HASH
[+]VmwareVer Vmware Vcenter版本识别
[+]VerScan Vmware Vcenter、Cisco、Exchange版本识别
[u]WhatCMS Citrix Gateway版本探测 发布日期、版本号、HASH
[u]MS17010 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]SmbGhost 不再显示PING存活机器
[u]NbtInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等 增加虚拟机识别
[u]WmiInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]RdpInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]MssqlInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]WinrmInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]ExchangeInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
[u]SmbInfo 精确识别Windows系统版本Win 11 2022 win 10各版本等
SMB: 192.168.198.1 WIN11-KK (Win 11, 21H2 10.0.22000) Domain:WIN11-KK Dns:Win11-KK SMBSigning:False
ChatLadon 透明度95% 字体清晰
LadonStudy 透明度95%
LadonGUI 透明度90%
[+]SubDomain 仅911版保留
[-]ActivemqPoc 仅CS和911版保留
LadonEXP Vcenter版本探测Poc
post方式 /sdk/提交以下数据,即可探测Vcenter版本
<soap:Envelope
xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"
xmlns:xsd="http://www.w3.org/2001/XMLSchema"
xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
<soap:Header>
<operationID>00000001-00000001</operationID>
</soap:Header>
<soap:Body>
<RetrieveServiceContent
xmlns="urn:internalvim25">
<_this xsi:type="ManagedObjectReference" type="ServiceInstance">ServiceInstance</_this>
</RetrieveServiceContent>
</soap:Body>
</soap:Envelope>
正则提取版本
(?<=</name><fullName>).*?(?=</fullName><vendor>)
不知道什么原因,通过Burp提交没任何回显,我还以为POC有问题,是哪个字符打错了,符号转义了还是什么原因。或是网络问题,但向其它网站发包又正常,重新打开几次,断网又科学上网几次,内网代理提交其它站点也正常,就是 vcenter不正常,具体原因不深究。
于是使用LadonEXP提交POC测试,发现正常回显,尼码被Burp坑半天
回显结果很乱,填写正则提取版本信息,识别到版本,将高亮显示
通过代理批量探测内网Vmware ESXI版本
在Ladon 10.10版本前,可使用以上方法批量探测,最新版本VmwareVer模块
##### 202 探测Vmware Vcenter版本
Ladon https://192.168.1.8 VmwareVer
Ladon 192.168.1.8/24 VmwareVer
Ladon url.txt VcenterVer
为什么先探测版本再打洞?
一是确定版本,好搭环镜复现针对性调式漏洞,有些洞版本之间差异很大,POC不见得能用,当然对于不重要的,也是可以直接无脑干。二是不符合条件的POC就不用打,Nday或1day多发一个包,WAF就会多一条拦截记录,同一IP出现N多POC请求,在大量日志面前,偶尔几条,肉眼一扫,可能直接略过,但是同一个IP有很多记录,又是POC探测,你的权限还不丢,只能说运维没有排查到或水平太差,或者说你运气好,所以大家不要动不动就一键扫POC或爆破内网。
换位思考假如你是管理员,你看着几万条记录,或者上百万记录,不管是工具还是肉眼,你会优先分析哪条记录,自动分析工具也会优先提示IP出现次数多,还有漏洞payload多,或者密码爆破多的IP,IP出现次数少,如果只是探测版本,日志里显示就像人正常访问一样,管理员更不可能查看,但肯定会封杀那些爆破,或大量POC扫描的。
当然如果渗透是一次性的,比如CTF比赛,只要拿到flag或权限,就能拿高分,哪怕刚拿完flag对方就知道是谁搞的,并清理你的权限或打补丁,无所谓。如果不是还是得分清主次,什么先做,什么最后做,容易导致权限丢失的行为不要做,即使是爆破,只跑一百个密码,和跑一万个密码,区别也很大。
能用几个包拿到权限,就不要走到发几千上万个包拿权限。一个C段255个IP,B段更加,哪怕只发一个ICMP包,都65535个了。一键无脑扫大量POC,甚至开头就爆破,自己算会产生多少数据包?假设一台服务器开放1433,445,21,3306,22端口,默认弱口令100个,针对一个IP跑一个用户就500个请求了,如果探测几个用户,跑几千或上万个密码,甚至内网B段,你觉得权限能存活多久?
和免杀一样,EXE直接集成一堆功能,杀软识别到多个特征,危险系数分值就高,直接杀,但要是你把功能分开调用,或者一个文件分离成多个文件,它就免杀了。渗透也是一样,一键扫描所有做很多事,不管是WAF还是管理员都会很快发现,很多人肯定会说,我一直这样渗透啊,那是因为你的目标太傻,本身很多运维水平就不高,甚至根本不同安全,日志和WAF都记录攻击IP了,他可能都没上去看过或者根本看不懂,当你遇到真正有人每天在服务器上检查的目标,你就会发现他分分钟能踢掉你。如果是请安全人员定期检测的,你的权限可能会在他们定期检查的时候才掉。
原文始发于微信公众号(K8实验室):LadonExp教程之Vmware Vcenter版本探测
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论