安全矩阵

 找回密码
 立即注册
搜索
查看: 876|回复: 0

Ladon10.8一键渗透 多协议探测 可达网段、出网协议

[复制链接]

260

主题

275

帖子

1065

积分

金牌会员

Rank: 6Rank: 6

积分
1065
发表于 2023-2-18 23:05:11 | 显示全部楼层 |阅读模式
本帖最后由 luozhenni 于 2023-2-18 23:04 编辑


Ladon10.8一键渗透 多协议探测 可达网段、出网协议
原文链接:Ladon10.8一键渗透 多协议探测 可达网段、出网协议
k8gege [url=]K8实验室[/url] 2023-02-18 08:08 发表于广西
简介
Ladon模块化网络渗透工具,可PowerShell模块化、可CS插件化、可内存加载,无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描等。10.8版本内置198个功能模块,外部模块18个,网络资产探测模块30个通过多种协议(ICMP\NBT\DNS\MAC\SMB\WMI\SSH\HTTP\HTTPS\Exchange\mssql\FTP\RDP\T3)以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、交换机、数据库、打印机等信息,高危漏洞检测16个包含Cisco、Zimbra、Exchange、DrayTek、MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列、Printer等,密码审计23个含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/webshell),Web指纹识别模块可识别155+(Web应用、中间件、脚本类型、页面类型)等,本地提权21+含SweetPotato\BadPotato\EfsPotato\BypassUAC,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

Ladon 10.8  20230218
  1. Ladon 10.8  20230218
  2. [+]AllScan  所有模块一键渗透
  3. [+]ExpScan  多EXP自动GetShell
  4. [+]VulScan  多POC漏洞检测
  5. [+]InfoScan  多协议探测信息

  6. [+]T3Info  T3协议探测WebLogic版本  7001 7002端口 支持URL或IP:port参数
  7. [u]whatcms  重新添加7001 weblogic探测
  8. [u]webscan  传入IP时探测443 80端口  回显HTTPS HTTP
  9. [u]ms17010  只显示SMB信息 以免VulScan或AllScan太多重复信息

  10. [-]bypassUAC bypassUAC2  Win10、11最新版失败 CS和911版保留
  11. [-]bypassUAC11  移除 因.net 4.0 只保留911

  12. [u]Ladon.exe默认为48 Win11默认.net 4.8
复制代码

PS:PowerShell、CobaltStrike等版本已同步更新
0x001 InfoScan 多协议探测存活主机、系统信息、可达网段、出网协议
  1. ##### 196 InfoScan多个模块探测系统信息
  2. Ladon 192.168.1.8/24 InfoScan
  3. Ladon 192.168.1.8 InfoScan
复制代码
为了能快速扫描A段,或大量B段,几千上万个C段,甚至国家网段,默认使用ICMP协议探测存活主机(系统PING命令就用ICMP协议),ICMP可达后再使用各种协议探测相关信息。
编辑

Ladon Study 一键渗透 学习模式 使用效果
无需使用者了解Ladon模块命令,点击按钮即加载对应模块扫描,非常简单,由于工具是图形化界面,主要在本地使用或授权电脑接入内网检测使用,其它情况优先内存加载,被杀或拦截再上传命令行版至目标。
编辑
可以看到DNS、SSH、SSL、MAC等协议探测到Kali、Forite等系统,甚至Vmware虚拟机、各种设备等Ladon均可识别,也有人说NbtScan探测存活主机不错,是十几年前不错,现在当然也不错,因为windows默认都开启。所以在有些内网,使用ping扫不到机器时,用nbtscan探测到不少机器,就会觉得还不错。但对于熟悉Ladon的人来说,Nbt只是Ladon里面的一个模块,当你使用Ladon noping NbtInfo探测机器,就知道了,如果使用InfoScan,就会使用其它协议探测,对于Linux系统、网络设备、甚至关闭NBT的机器,Ladon一样能探测,只要目标开机,使用noping可绕过防火墙。
不熟悉命令的,可勾选“点击按钮复制命令”,然后在CS或各种shell上执行
编辑
0x002 Ladon多协议穿墙探测、绕过防火墙探测
可能有人问Ladon默认先icmp探测,有一些主机禁ping怎么办?解决方案noping参数。如果是开启防火墙呢?解决方案也是noping。noping的意思是不ping目标主机,直接使用对应协议探测。优点是不少协议能绕过防火墙或禁ping主机,缺点就是扫A段或大量C段等速度很慢,所以使用时大家结合自己情况使用。如果只是扫几百个C段,几个B段这些都无所谓。InfoScan集厉了大量协议,不用大家一个协议一个协议的探测,非常方便。
  1. ##### 196 InfoScan多个模块探测系统信息
  2. Ladon noping 192.168.1.8/24 InfoScan
  3. Ladon noping 192.168.1.8 InfoScan
复制代码

当你开启防火墙后,使用以上命令探测目标,哪个协议能访问到目标主机,即代表目标哪些协议可穿透防火墙出网。哪个IP、哪些机器可上哪种协议的后门或C2、可用哪些横向移动工具一目了然。
不了解的同学可参考历史绕过防火墙探测文章
利用MAC绕过防火墙探测存活主机
利用Browser协议绕过防火墙探测主机信息

0x003 WebLogic批量GetShell漏洞复现
新增T3协议探测WebLogic版本,传入IP时探测7001 7002端口 支持URL或IP:port参数,该功能在LadonGo一直存在。
  1. ##### 195 T3协议探测WebLogic版本
  2. Ladon 192.168.1.8/24 T3Info
  3. Ladon 192.168.1.8:7001 T3Info
  4. Ladon http://192.168.1.8:7001 T3Info
  5. Ladon url.txt T3Info
复制代码

通过Fofa或相关搜索引擎导出url.txt,但由于数据更新不及时的原因,有些URL可能已不是weblogic或者版本信息与上面不一致,这时需要使用Ladon进行精准探测,其它APP或产品也一样,可使用WhatCMS识别,确认版本好定制POC。对于指定目标内网或外网,相关搜索引擎也不定扫描到它们的C段,这种情况下同样需要Ladon,外网访问不到的内网就更不说了,相关搜索引擎更加识别不到。
编辑
探测目标确实使用weblgoic后,我们可POC或EXP指定IP
编辑
当然也可以不探测版本,直接使用WeblogicPoc模块批量探测漏洞,公开POC随便打不要钱,非指定目标也不怕拦,本身POC就公开,拦本就正常。
  1. Ladon 192.168.1.8/24 WeblogicPoc
  2. Ladon http://192.168.1.8:7001 WeblogicPoc
  3. Ladon url.txt WeblogicPoc
复制代码
​​
编辑

WebLogicExp一键GetShell
Ladon 192.168.1.8/24 WeblogicExp
编辑
默认植入的是Ladon的ua shell可过很多杀软,体积也非常小1k都不到,成功getshell后,大家再自行通过各种命令更换免杀好的其它webshell操作
连接WebShell执行命令
Ladon911 JspShell ua http://192.168.1.8/shell.jsp Ladon whoami
编辑
可以看到这名幸运观众为Linux系统,我们可以wget自己的其它shell到目标,更方便操作。windows就使用powershell等命令下载或直接上CS
编辑
后渗透的时就不用我教了,甚至进到内网,还可以再扫一波,外网都使用,搞不好内网可能也会有weblogic,不管任何时候都要懂得举一反一,吃黄豆拉豆芽,能打外网web,内网web也一样,别忘了Ladon最初设计就是专门针对内网的。但又有人误以为只能打内网,于是我又发了各种打外网的文章。
0x004 VulScan 多POC漏洞探测
如果你不熟悉相关漏洞,同样可以使用PocScan或VulScan一键检测目标存在哪些高危漏洞。如下图,针对指定IP,加载Ladon内置的很多POC检测漏洞。如本文没有提到的Struts2Poc,当然S2漏洞我已经很久没见到了,所以几乎没更新,内置POC基本为当初GUI上的POC,区别在于Ladon可批量检测。
编辑
  1. ##### 197 VulScan PocScan多个远程漏洞检测
  2. Ladon 192.168.1.8/24 VulScan
  3. Ladon 192.168.1.8 PocScan
  4. Ladon http://192.168.1.8 PocScan

  5. ##### 198 ExpScan多个漏洞利用GetShell
  6. Ladon 192.168.1.8/24 ExpScan
  7. Ladon 192.168.1.8 ExpScan
  8. Ladon http://192.168.1.8 ExpScan
复制代码
多个漏洞利用GetShellLadon 192.168.1.8/24 ExpScanLadon 192.168.1.8 ExpScanLadon http://192.168.1.8 ExpScan同理ExpScan就不演示了,大家不清楚都有哪些模块,可查看Ladon Study
Ladon911版保留很多功能,但被杀得更历害,该版本建议本地实验使用
AllScan
该功能还没有完工,需要可用一个批处理实现或自写程序调用
AllScan.bat  填写各种模块命令 即可实现一键调用想要功能
  1. Ladon noping 192.168.1.8/c MS17010
  2. Ladon noping 192.168.1.8/c SmbInfo
  3. Ladon noping 192.168.1.8/c NbtInfo
  4. Ladon noping 192.168.1.8/c ICMP
  5. Ladon noping 192.168.1.8/c WebLogicPoc
  6. ...省略...
  7. ...省略...
  8. Ladon noping 192.168.1.8/c ICMP
  9. Ladon noping 192.168.1.8/c Strutus2Poc
  10. Ladon noping 192.168.1.8/c TomcatPoc
  11. ::Brute
  12. Ladon noping 192.168.1.8/c 401Scan
  13. Ladon noping 192.168.1.8/c SmbScan
  14. Ladon noping 192.168.1.8/c NbtScan
复制代码
注意
这种批量做很多事的功能,不建议在防御强度高,管理员牛B的项目使用,大家应该都有过使用AWVS扫网站时,可能直接被封IP的情况吧,因为它发了成千上万个漏洞数据包探测目标。里面只要有1个POC是杀软拦截的,它就直接失去机会。还有另外一种一个POC都检测不到,但是通过请求速度,1秒内发包量来判定是否是攻击,而封你IP。又或者爆破密码,也被封IP,这种可能是管理员看到日志或有相关设备拦截了,在外网渗透犯这种错误,换个IP就能解决。但在内网,这种无脑一上来就自动大量扫描的,一被发现,轻则当前控制机器不可达被你扫描的一些机器,重则当前机器权限丢失。因为各种日志系统均显示攻击IP来自某一台机器,大量的密码爆破,各种POC探测,WAF会有记录和提示的,有些是直接拦截自动封IP。更严重的是所有机器权限都丢失,有可能因为这种大动作,导致动员大家进行全面检查,然后所有机器权限全部丢失。如果你只拿了区区一个webshell或只控了一台机,这种入门的渗透方式就不要用了。所以这也是Ladon一直以为都不做全扫描的原因,但是想到有些目标管理员就是SB,随便搞也没事,还是加一下,对于不重要的可以节省不少时间。
但还是要明白一点,并不是所有项目的人都是SB,并不是每次的运气都那么好。当天没发现,一周内没发现,一个月没发现,不代表两个月不会发现。这种暴力方式全靠管理员SB,当然实战确实是90%都是SB。实战大家要结合自己的项目情况,可以先收集相关信息,分析下管理员能力来判定是否无脑全扫描。当然不只是说用Ladon有这风险,用其它工具也是一样,比如nmap以前我用也是从入门的全端口,到后来慢慢变成只扫一些端口。相信现在就算在使用nmap的人也很少扫全端口吧,你用nmap懂这个道理,用其它工具难道不同吗?
给大家的建议是,能用一个漏洞,能发一个包就能拿权限,就不要发几百个包,没人知道目标有什么防火墙,或者管理员什么时候看日志。同一个目标可能很多人在渗透在乱扫,管理员一眼看大量日志,你的只有几条,可能排查起来就看不到你的IP,你的存活时间就会更长一些。而不是过几天,管理员把什么协议封了,我这台机过不去了,管理员牛我们没话说,要是自己操作过程是这种很容易被发现的方法,那就不是管理员牛B了,是自己的问题。
,要


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 21:45 , Processed in 0.014216 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表