logo

K8哥哥

没有绝对安全的系统

〖工具〗巨龙拉冬:让你的Cobalt Strike变成超级武器

本文于 1119 天之前发表

Cobalt Strike巨龙拉冬插件9.0发布,让大家久等了,就当是程序员节礼物。原计划是Ladon8.0的时候出的,当时也实现了部份功能,但因为放在虚拟机里,可能误删了没备份,也因为各种事懒得重写,拖着拖着Ladon已出到9.0了,也想国庆写,但国庆又想上王者,于是又拖到最近两天才重写插件,CS右键已实现90%的功能部分功能请先在Beacon命令行使用。巨龙拉冬中文插件和Ladon英文插件的区别是右键菜单功能更全,英文的菜单让很多不熟的人,误以为Ladon并没让CS加强多少功能,而有些知道Ladon功能多的人,也误以为Ladon有很多乱七八槽的功能,最主要是文档不看,问我有没什么功能?如他想查询内网C段存在哪些WEB资产(网站、标题、Banner)等信息,问有没什么工具可以收集啊,然后他gitub找了一圈,哎呀这个工具是PYTHON的这个是GO的体积太大了,就一个功能还需要上传过去,不方便啊,最后来一句Ladon能不能加这个功能图片,我说兄弟能看看Ladon的文档吗?一个WebScan或WhatCMS搞定,用法和你们扫MS17010或OnlinePC一样简单但功能又强大,功能无论是博客文档还是GUI版上的WIKI都可以查看,问我有没有。现在功能又集成到CS插件右键上而且是中文的,希望下次不要再问我类似问题了,你们可以看到从右键菜单看Ladon功能更直观,觉得不乱了,你会发现那些功能都是实战要用的。因为有时候做不同的项目,有些模块可能用不到,时间久了我自己也忘记有这功能,然后去网上找,找着找着发现这功能我几年前写过,或Ladon里有,差点又重复造自己的轮子,所以觉得此中文版除了照顾大部分人,对于我可能也是需要的。总之一句话“Ladon在手,天下我有”,让你的它”Cobalt Strike”变成超级武器吧!不管你信不信,我反正信了。

=============================================================================================
+++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++++

关于Ladon

Ladon音译: 拉登或拉冬。因集成了很多模块,每个模块又可独立成为一个工具,上百功能尤如百头巨龙拥有100个头,每个头都可以喷火。Ladon是希腊神话中的神龙,看守金苹果的百头巨龙。它从不睡觉,被赫拉克勒斯借扛天巨人之手诱巨龙睡着。杀死巨龙并偷得了金苹果。巨龙死前将自己的魂魄封印在金苹果中,偷盗者将金苹果送给了白雪公主,公主为了报恩将金苹果分给了七个小矮人,吃下以后他们变成了龙珠散落到世界各地,龙珠分为七颗,它蕴含着可以令奇迹发生的力量。当集齐7颗龙珠念出咒语,就能召唤神龙,而神龙则会实现召唤者提出的一个愿望。

程序简介

Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码审计、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。9.0版本内置122个功能模块,外部模块20个,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,多协议探测操作系统版本信息,漏洞检测包含MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列等,密码审计17种含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar、网络摄像头、路由器等,横向移动远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/jspshell),Web指纹识别模块可识别86种(Web应用、中间件、脚本类型、页面类型)等,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

使用简单

虽然Ladon功能丰富多样,但使用却非常简单,任何人都能轻易上手
只需一或两个参数就可用90%的功能,一个模块相当于一个新工具

Ladon宗旨

一条龙服务,为用户提供一个简单易用、功能丰富、高度灵活的红队工具

横向对比

为什么叫百头巨龙?单纯因为功能多吗?我们可以拿Ladon来和一些神器对比,每个模块可能轻松秒杀曾经公认独立的神器,如NbtInfo模块完暴N年前的NbtScan扫描神器,就一个NBT协议就比它信息全,支持批量跨网段、多网段、C段、B段、A段探测等,Ladon还有SMB、WMI、SNMP、Http、DNS、MAC、MSSQL等等协议也是一样。横向移动模块这个不能说秒杀,但可以说更安全,Ladon横向执行命令通信过程是加密的,而网上大量横向工具均是明文传输的,非要说用什么横向容易暴露,同等条件下,肯定是明文容易被WAF拦截啊,你其它横向工具语法复杂又不安全都敢用,Ladon语法简单又加密传输你说用Ladon容易被拦截?能拦Ladon要么是针对,要么是目标在API上拦截,在API拦截,其它工具也会失效。如360横向移动防护,除非你研究出绕过方式,使用新的API横向,不然在API上防护,其它工具无效。还有一些模块特有的b64cmd,能完美兼容类似CS这种在执行多条命令(含有多个引号或空格无法执行的问题)。子域名扫描模块SubDomain不只是单纯识别域名,为了准确会验证IP是否有效是否范解析(单纯解析速度非常快),虽然速度上已有所牺牲,但速度还是比一些文章推荐的神器快而准如SubBrute等(http://k8gege.org/Ladon/SubDomain.html),再说相关提权如potato系列,原版可能只能执行一次或提权后卡死,但Ladon集成的经过修改已解决相关Bug。当然由于实战环境各异,系统环境、网络环境、杀软环境等因素,可能在少部分机器上某些功能Ladon会有BUG(对于上百功能只有少量Bug比那些只写一两个功能的工具还几十个BUG强多了)或者被杀软针对,这种情况可能也是得需要用上其它工具的,因为没有一个工具能取代所有,有些工具可能不是很强,但它没被针对,关键时候可能只有它能用上,平时不用不代表它能完全抛弃。比如说impacket的wmiexec虽然是明文传输的,但有时代理Ladon连不上,这种情况我也推荐你用impaket或者其它工具,impacket也是个神器,我们从不否认,如果说Ladon和impacket都无法连接,我也推荐你用其它不知名的工具,我也不否认其它工具的存在,兴许人家的能用呢?因为实战你需要的是能用的东西,优先安全加密传输这样更隐蔽当然重要,但是实在不能用,你还是得用明文传输的可能也有很多BUG的工具。各种协议密码审计模块除了支持批量A段、B段、C段、跨网段扫描外,也支持多种字典格式快速验证,如SmbScan、NbtScan(独有功能)等模块一分钟可验证4万密码,我知道有黑子肯定要说跑那么多流量大了。实战中我们一般只会用收集到的几十或几百上千密码来跑而已,速度快不是让你一上来就跑,这和一进内网就全端口扫描或直接几百上千个漏洞扫描,那种都是极易被WAF发现和拦截的,这是为什么Ladon那么多功能都是分开的主要原因之一,假如能用MS17010这漏洞拿到系统权限,我还有必要探测其它漏洞,让WAF发现让管理员把我踢出局吗?什么叫动作越少越好,一边说Ladon扫描流量大,一边用那些带有明显特征流量大的工具无脑扫内网,靠运气不被管理员踢出局,明明是管理员菜以及WAF垃圾才没被发现,还说自己很吊。Ladon也可以t=x设置低线程扫啊,也可以f=1完成一个包后再下一包类似手工一个一个的扫啊。

不易被拦

大部份探测发包均为协议正常包所以很难被规则过滤。打个比方,如目标未打永恒之蓝补丁但装有卡巴最新版,使用EXP无法利用,但Ladon依然可以检测到存在MS17010漏洞,探测如此高危漏洞包还有点特殊的情况下连卡巴都不拦截,何况其它模块只是发对应协议正常包探测系统、WEB、设备、版本、服务等等信息呢?所以那些动不动就用Nmap扫C段全端口65535个,TM管理员都没反应,WAF也不拦,却造谣说用Ladon动作大流量高易被管理员发现或被拦截的不知道在想啥?先不说Nmap有特征,同样是小白它不会改特征,单纯无脑全端口扫描就有问题,就算不是C段,对一台机器都TM发几万个包了,管理员和WAF这都没发现,用Ladon只是用正常协议包探测上几个端口反倒会被发现?Ladon里90%的探测模块,如SmbInfo、NbtInfo、MS17010等模块,那些对一台机器仅仅发1-3个小包而已,别说探测一台机器,就是扫整个C段,也比你Nmap默认扫一台机器的1000个端口或全端口扫描的流量要小很多倍。所以在项目中你能用NMAP随意扫不被发现,Ladon也可以扫。因为大部分都是正常协议包探测,所以也不会对业务系统造成影响。用最近的瓜来说就是,Ladon是神龙的龙,不是”修水龙头”的龙,大家不要误会,用Ladon会比很多工具更难被发现,你真遇到很强的管理员,Ladon除了可设置只扫指定范围目标外,同样也可以t=x设置低线程扫啊,甚至f=1完成一个包后再下一个发包,这和手工一个一个来差不多更安全的探测。

神龙插件 右键菜单 功能列表

0x001 网络资产收集

多协议探测存活主机
仅ICMP探测存活(快)
Oxid多网卡主机探测
多协议操作系统探测
网站、标题、Banner
智能网站CMS识别
常见端口服务探测
Shiro探测
Cisco探测
LDAP服务器探测
FTP服务器探测
枚举MSSQL服务器
枚举共享资源

0x002 系统信息探测

SMB探测系统信息
WMI探测系统信息
NBT探测系统信息
RDP探测系统信息
SNMP探测系统信息
MSSQL探测系统信息
WINRM探测系统信息
Exchange探测系统信息

0x003 远程漏洞检测

SMB永恒之蓝检测
SMB永恒之黑检测
Struts2漏洞检测
Weblogic漏洞检测
PhpStudy后门检测
ActiveMQ漏洞检测
Tomcat漏洞检测

0x004 一键GetShell

Exchange CVE-2020-0688
Weblogic GetShell
Tomcat GetShell

0x005 网络密码嗅探

FTP密码嗅探
HTTP密码嗅探

0x006 网络密码审计

445端口SMB密码审计(Windows)
135端口WMI密码审计(Windows)
445端口SMB-HASH密码审计(Windows)
135端口WMI-HASH密码审计(Windows)
139端口NBT密码审计(Windows)
5985端口Winrm密码审计(Windows)
21端口FTP密码审计(多平台)
5900端口VNC密码审计(多平台)
389端口LDAP密码审计(Windows)
1521端口Oracle数据库密码审计(多平台)
1433端口SQL数据库密码审计(Windows)
3306端口MYSQL数据库密码审计(多平台)
7001端口Weblogic后台密码审计(多平台)
Web端口Tomcat后台密码审计(多平台)
Web端口401基础认证密码审计(多平台)
22端口SSH密码审计(Linux_多平台)
网络摄像头密码审计(401认证)

0x007 本机执行

sc服务执行(system权限)
at计划任务(system权限)
Runas(模拟用户执行)
RunPS(无powershell执行)
ForExec(循环执行命令)

0x008 远程执行

WinrmExec
SshExec
SmbExec
PsExec
AtExec
WmiExec
WmiExec2
WinrmExec
JspShell
AspShell
AspxShell
PhpShell

0x009 本地提权

BypassUac
eventvwr
fodhelper
computerdefaults
sdclt
slui

BypassUac2
GetSystem
Runas
ms16135
BadPotato
SweetPotato
RDPHijack
CVE-2021-1675

0x010 自启动

注册表自启动
服务启动项

0x011 3389远程桌面

一键开启3389
查看3389远程连接
查看管理员组用户
激活Administrator
激活用户Guest
远程桌面会话劫持

0x012 远程下载

Http文件下载
FTP文件下载

0x013 域(DC、LDAP)

域内机器信息获取(域内)
389端口LDAP服务器探测
389端口LDAP密码审计
CVE-2020-1472域控提权

0x014 后门/木马查看

注册表启动项
系统却持DLL

0x015 域名解析

Domain2IP
Host2IP

0x016 端口转发

netsh(系统自带)
PortTran

0x017 本机信息收集

查看本机IP(内外网)
当前用户、特权信息
GUID、CPUID、DiskID
基础信息(仅cmd获取)
基础信息(含wmi获取)
获取命令行参数
获取进程详细信息
查看IE代理信息
查看本机命名管道
查看3389远程连接
查看USB使用记录
查看管理员组用户
查看最近访问文件
查看安装.NET版本
查看PowerShell版本
查看已安装程序版本

0x018 本机密码读取

IIS站点密码
CVE-2021-36934
DumpLsass

0x019 MSF/NC联动

Shell_bind_tcp
Shell_reverse_tcp
Met_reverse_http
Met_reverse_https
Shell_reverse_icmp
Shell_reverse_dns

0x020 其它功能

网站HTML源码查看

无图无真相

好了废话不多说上图,让我们看看Cobalt Strike 4.4巨龙拉冬插件功能

如果你熟悉Ladon命令的可以直接在Beacon上执行相应命令即可,如使用“Ladon GetID”命令查看目标机器名、机器ID、CPUID、硬盘ID、MAC地址等信息,主要用于区分一些大内网同名机器,或其它用途。若是你不熟悉可以使用右键菜单,为了方便新人或不太熟的人

如果不熟悉Ladon命令用法,也可以右键菜单,使用非常方便,只需选择模块填写目标参数如(IP、URL、域名、主机名、CIDR格式IP等),即可加载对应模块扫描或探测你想获取的信息,如探测C段存在MS17010漏洞的机器。

内网外网网络资产探测

操作系统信息探测

漏洞检测

网络密码审计

本机信息收集

横向移动、远程执行

权限提升、本地提权

这么强大的插件如何获取呢?

原文:https://mp.weixin.qq.com/s/GQBXCX1fiSLi6gKY3M-JcA

CS下载

https://github.com/k8gege/Aggressor/releases/tag/cs

Ladon下载

LadonGo 3.8: https://github.com/k8gege/LadonGo
PowerLadon: https://github.com/k8gege/PowerLadon
历史版本: http://github.com/k8gege/Ladon/releases
7.0版本:http://k8gege.org/Download
9.0版本:K8小密圈

扫码加入K8小密圈