ZteScanLadon子模块TelnetScan针对Zte部分版本telnet弱口令检测，就是说路由器启用telnet才可以，如果扫描目标未开放23端口，就不用telnet检测了。0x006

2018/04/20)RouterOS下载https://download2.mikrotik.com/routeros/6.38.4/mikrotik-6.38.4.isoLadon

无论是内网还是外网渗透，最重要的一个环节是信息收集。Ladon中有两个模块是内网和外网都会用到的，一个是WhatCMS，模块主要用于识别Web应用。一个是PortScan，该模块识别常见TCP端口Banner，个别Web标题和Banner。两者区别在于，一个只针对Web，协议http/https，另一个是常见TCP端口。当Ladon参数为ip时，将探测以下端口的Web标题、SSL证书、Banner并识别CMS，如网络设备、路由器、交换机、防火墙、打印机、邮服exchange、zimbra、webmail等150+已知CMS，可智能识别很多未知CMS。如下图，传入IP或C段、B段、A段时，探测以下端口如果已收集好URL，直接识别url或url列表，速度最快，因为不用以上端口都去识别，所以扫C段或B段时该模块速度比WebScan要慢很多，主要是这原因，慢但是收集的信息更多更全。#####

关于Chrome浏览器密码读取，Google曾回应“它不属于漏洞，因为当别人进入你电脑时，已说明你不安全了”，意思就是说前提你得先拿到权限，你想凭空就读到密码也不可能，又不是远程溢出读取。Google说得没毛病，人家进到你电脑，即便没有浏览器密码读取工具，一个键盘记录什么的，也一样获取到密码。你的密码被读取，其实最本质的原因是存在了让人可进入系统的漏洞，所以不管是谁重点都是先放在不让你进系统上。因为进不去，你准备多少工具都没用，难度最大的其实是0到1。没权限你没资格做任何事，就像有一部电影里说的“你开马自达，你根本没有资格参加这个会哦”。LadonStudy密码读取包含管理工具Navicat、TeamView、Xshell、SecureCRT，浏览器Firefox、CocCoc、Chrome、Edge，Wifi密码、浏览器密码、FileZile

1.3的部分站点，仅48可探测SSL，40可banner\CMS，20无法探测使用tls1.11.2的https站点，任意版本Ladon访问均可探测SSL如baidu.comPS：在安装有.NET

前言无论是渗透内网还是外网，信息收集都非常重要，只有探测出目标系统(操作系统/Web程序)、安装程序/APP等才有资格去找相应的EXP或漏洞工具对目标进行尝试利用，你连目标IP都不知道，靠运气一通乱扫描？所有漏洞都扫？人家用的是MAC或LINUX，看到开放445，你用MS17010去打？要搞清楚MS是微软的缩写MS17010只针对Windows，LNX也有SMB漏洞但不是这个编号。所以想方设法探测目标机器或收集相关信息非常重要也是第一步该做的事，只有知道存活IP才能使用其它工具扫描，或者知道系统信息又可使用更精确的工具去扫是否存在对应漏洞，对于思科设备更是如此，特别是溢出类的EXP，不知道目标具体版本，可能打过去路由器就崩了，所以探测本很重要，当然有一些型号无法探测，连做了10几20年的“某蛋”等搜索引擎也无法识别，也可采用另一种方法，拿现有EXP全打了再说，崩了，顶多就是目标不能上网一会而已嘛，现实中谁上网不经常卡一下，你卡的时候有怀疑过是公司路由器被打了吗？连专门从事安全技术的都不会因为几秒或几分钟的网卡而去查，连WEB漏洞这种轻易利用和被发现的都得花点时间排查，如果是溢出类的，特别还是失败的，别人更不好查，一般容易被查都是在马这种有链接。也可以反向思路，假如你是管理员，你负责管理一堆机器，每天上班都是这工作，你去反查，是先查看现成日志，有链接有明显特征的流量，还是去看一条压根不成功，无法确认是用洞打的还是路由自己崩的信息，再说得直接点，TM有几个管理员懂溢出，有个崩溃日志，他懂个毛，手头里大量明显外连的IP，他都没有排查完，你还没进去呢，他还花大量时间学溢出，或请人来看一条崩溃日志？你有没想过不只你一个人在打，他管理的机器中也不只一台出现崩溃，所以有时候不要把对方想得太神过头了，没那么夸张，他真的牛到这种地步，你压根就不需要拿Nday去尝试了，你都敢拿Nday去打，就说明你心里认为他就是个SB，压根都不打补丁或者不懂，如果非要说他懂，换作你是管理员，一个公开漏洞你懂，你会不补上吗？或者WAF规则不加上吗？不要怂，就是干。探测版本的目的是为了更快利用，减少未知版本，需要黑盒测试太多Nday所浪费的时间，根据我这几年在项目中遇到的Cisco版本，做了几种方法探测工具。因为不同版本开放端口不同、协议不同、就算同协议同端口返回信息也不懂，所以当你学会一种方法，压根就不可能探测全的，刚好探测到，只以说是运气。加上防火墙限制原因，可能只允许某个协议访问，你只会一种，又是不允许通过的，你识别个蛋啊。小结：能识别版本，节省时间，调对应版本漏洞，实在不行直接打，怕个毛0x001

l本文之前Ladon的WathCMS通过HTML源码、CSS样式、图片等信息识别目标CMS以及版本信息，但是遇到一些登陆口，什么信息都没有，无法确认是什么站点或设备，或者通过WebScan、PortScan等模块探测到banner为Cisco设备，或者通过OnlinePC探测到设备，但无法确认设备版本型号，不确定版本，就无法调EXP，特别是溢出类漏洞，mips内核的思科设备和arm内核的，它能一样吗，即使都是同一内核，如win7和win10，SMB溢出shellcode也是有很大差异的。或者说EXP是针对思科路由器的，而你正在访问的登陆口，是思科其它产品，你胡乱拿EXP去打，那也是肯定不成功的，EXP是公开的还好，要是0day，你就得知道，用一次少一次，用多了0day就被别人抓到，没多久可能就成了公开，当然我们探测的主要目的，是为了更好的开展下一步工作。某类设备多，就可以在上面多花些时间研究EXP，不重要或用的不多，就没必要花费时间精力去研究。PS：不管是HW比赛，还是防护更高的渗透，信息收集都非常重要SSL证书SSL证书是数字证书的一种，类似于驾驶证、护照和营业执照的电子副本。因为配置在服务器上，也称为SSL服务器证书。探测原理通过访问SSL端口获取SSL信息，默认端口为443，探测过程是一个正常ssl的请求服务器，服务器返回证书的过程，因此是不会被WAF、防火墙、EDR、XDR等产品拦截或报警。证书里可能会包含设备版本、组织机构、域名、机器名、路由器、CDN等等信息，当然也相当于变相探测存活主机的方法。Ladon简介大型内网渗透扫描器&Cobalt

couchdb官方发布安全通告，公告中修复了一个远程代码执行漏洞，漏洞编号CVE-2022-24706。可导致远程攻击者获得管理员权限等危害。简介Apache

$pass$port=5985isok=isoklog=true注意：INI脚本必须为ANSI编码，当前机器与目标必须启用WINRM，且放行5985端口

之前做路由器基本上只是开个VPN或Socks代理做内网，在拿到的机器上对内网进行横向拓展。但是这样会遇到以下一些情况：1、有时网络卡容易丢包，探测漏洞时，由于超时没结果错过存在漏洞机器。2、有时开启VPN但死活连不上,这是最近几天遇到的，之前也偶尔遇到。3、代理工具不支持ICMP等协议，代理后内渗没有那么丝滑。4、密码暴破等多线程操作，代理卡，也容易误报(如超时错过正确密码)由于上述问题，我决定直接从路由器上对内网进行横向渗透，当然如果上层或下层还有路由器的话，也可以尝试纵向拿上级或下级路由OS系统权限，然后路由上渗透在它下面的机器，这种情况是必须也只能在路由器上做渗透。路由器上渗透的优点不受限制，比如同一个路由器下有很多网段，互相之间可能访问不了，你控有内网机器权限，横向也只能横向C段或它允许访问的网段。但是你拿到了路由器权限，它分几个网段，你直接从路由器，肯定能访问到，但是前提也是拿到路由器权限。外网路由器，一般都是能多协议上网的无杀软，不用考虑免杀问题监控少，目前很少见到在路由上部署监控的网关抓包，通过它上网的机器流量都可截获，如FTP、WEB密码等入口点，由于无杀软监控少可上网，留后门也不易被发现路由器上渗透的缺点相关命令或工具少，横向操作不如常规Linux，更不如Windows存储空间小，若是需要落地大数据不太现实，时间成本会非常大3.不要瞎配置，会影响到目标网络测试环境DrayTek

暴力破解/网络认证/弱口令/密码爆破/数据库/网站后台/登陆口/系统登陆密码爆破详解参考SSH：http://k8gege.org/Ladon/sshscan.html#####

溢出漏洞如MS17010、本地提权CVE-2021-1675等，非溢出如最新的Office漏洞CVE-2021-40444等[+]PrintNightmare

DraytekPocPS：目标为IP（IP或批量C段）时检测80、443、8080、8181端口，已确认目标URL可指定URL，以减少对4个端口的探测浪费时间。漏洞描述DrayTek

WIN10更新至最新版20H2发现，查杀能力比以前强了不少，特别是针对CS加载.NET程序集或NIM加载.NET的查杀，毕竟你要调用的函数微软很了解，它想拦截想杀还是比较容易的。但是不知道大家有没听说过一个故事“微软的编程工具的开发工程师，编写程序时，也需要查阅文档”，说明什么？微软系统的API很多，是微软写的没错，但又不是一个人自己写的，就算是一个人自己写的，功能那么多，他也根本记不起，用到自己的东西也要查阅文档，就像我用Ladon有时也要查阅文档，这很正常，因为我写过的工具或功能太多，有些久不用，甚至都会忘记我自己写过什么。所以我想说的是，微软就算做杀软，它也不可能做到全面监控，因为参与开发杀软的人，它不可能对微软系统上百万函数了如指掌，越是大型程序，需要的开发人员越多，很多人都只是负责某一模块对整个系统可能只是一只半解，所以Defender虽然查杀能力某些方面有点加强了，但是很多方面它依旧无法查杀，还没达到自己人写的程序就真比其它杀软牛B的地步，那些专门做杀软的，逆向能力很强，有BIN文件对他们来说就相当于源代码，很多人比微软员工还要了解win系统。举个简单的例子，你在某公司工作，有些员工可能你压根都不认识，更别说和公司所有程序员了解他们所写过的代码，微软的操作系统有多少人来写，defender这部门又只有多少人，他们怎么可能把所有函数都了解，就算24小时不吃饭不做任何事，只研究代码也做不到全面查杀或拦截，至少最近几年还比不过很多主流杀软。任何一个杀软能查杀一个全球大量人使用的工具这是应该也是必须的很常规的考验，杀了不代表这杀软就强了，但是不杀它一定是垃圾。如CS，因为全球大量人使用，任何一个杀软杀它都说明不了什么。好了废话不多说，进入正题。GO异或加密免杀使用GO免杀CS的shellcode，生成的dll上线成功执行CMD命令正常，但执行dumplsass等相关高危功能或加载Ladon时被杀，CS直接下线，甚至加载一个只输出hello

Ladon9.1.1插件右键功能已更新174个，相比9.1.0的131个新增了43个功能，本机密码新增4个主流浏览器Chrome、Firefox、Edge、Coccoc帐密、历史记录、Cookie等，新增CMD常用渗透命令30+，Ladon9.1.1插件采用分离式加载，减少网络卡时加载Ladon导致CS假死情况。其它功能，新增.net测试&powershell测试，用于测试目标杀软是否拦截CS加载.NET程序或Powershell等，具体功能大家实战测试吧，实战为王，多说无益。Ladon主程序Ladon

c:\users\public\test.bat'可ECHO写入添加管理员用户命令或者开3389等操作（举一反三不要只懂WHOAMI）提权至SYSTEM权限执行BAT

前言写了几篇无回显命令执行漏洞Ladon回显方法，接下来我们它升级，既然我们可以通过漏洞执行无回显命令都可以得到回显，那么我们自己写的程序不是更轻而易举吗？所谓远控不过就是通过各种协议传输攻击者的操作指令与结果而已。早期都是用TCP协议实现，之后FTP、HTTP（什么网盘、邮箱、博客等都是并非什么新方式只是换个网址或API而已），大家常用的CS也是HTTP协议，本文用Ladon来实现个简单的C2。启动WEBLadon

前段时间有人和我说什么时候有空出些CTF用的工具，实际上CTF考查的内容，实战中用到的很多工具都可以使用，关键在于你懂不懂用。也看到有人搜索如何使用K8飞刀，在此以CTF题为例，教大家如何使用K8飞刀的HackerIE功能（相当于Hackbar插件的高级版），以及编码解码功能的使用（模块涉及多种编码以及加密解密算法），除了实战会用到以外，CTF也可以用到，不过CTF中常见的应该是BASE64、HTML编码、SQL注入编码之类的，实战中密码除了MD5、SHA1以外最常见的莫过于BASE64了，XSS里HTML编码等也会经常用到，至于什么栅栏密码之类的实战几乎很少遇到，所以有些CTF出题和实战还是两回事，虽然说栅栏算法也非常简单，但从实战角度来说，考查用处不大，实战几乎不见的有必要考吗？如同书呆子考试靠死记硬背靠运气拿高分，拿了高分实际工作解决不了新问题，这种就是没用。考查知识点1.查看HTML代码2.GET提交3.POST提交4.伪造IP5.Base64解密6.HTML实体解密7.PUT/MOVE漏洞8.URL编码9.目录扫描10.Cookie欺骗题目1

简介LadonGo一款开源内网渗透扫描器框架，使用它可轻松一键探测C段、B段、A段存活主机、指纹识别、端口扫描、密码爆破、远程执行、高危漏洞检测等。3.8版本包含32个功能，高危漏洞检测MS17010、SmbGhost，远程执行SshCmd、WinrmCmd、PhpShell，12种协议密码爆破Smb/Ssh/Ftp/Mysql/Mssql/Oracle/Sqlplus/Winrm/HttpBasic/Redis/MongoDB/RouterOS，存活探测/信息收集/指纹识别NbtInfo、OnlinePC、Ping、Icmp、SnmpScan，HttpBanner、HttpTitle、TcpBanner、WeblogicScan、OxidScan，端口扫描/服务探测PortScan。前言有同学问我有些机器代理有问题，丢很多包，很多信息无法探测，所以只能把工具传到目标，上传前本地更新WIN10

https://github.com/k8gege/Ladon/releases7.0版本：http://k8gege.org/Download9.1版本：K8小密圈推荐文章巨龙拉冬:

K8破解版000为原始试用版(原版不是很全，欢迎大家提供给我更新)https://github.com/k8gege/Aggressor/releases/tag/csLadon下载LadonGo

系统信息探测SMB探测系统信息WMI探测系统信息NBT探测系统信息RDP探测系统信息SNMP探测系统信息MSSQL探测系统信息WINRM探测系统信息Exchange探测系统信息0x003

为何要自动化?你是否遇到过CS只上线几分钟又下线的情况，这种情况可能是安全公司扫描自动CS上线的，当然这并不是我们的重点，因为做个IP过滤或改一下CS就好了。重点是另外一个原因就是目标某些机器临时接入网络，所以我们会看到只上线一会儿。或者说就算上线一两个小时，而此时你正在做其它事，来不及看，等回来时机器已下线。因此自动化收集信息是有必要的，或者说有很多机器需要更新CS，如3.X转移到4.X，你一台一台换，等下班了都换不了几台，如果有些机器在不定时且是你休息时间才上线，难道你每天都在等它上线吗？首先我们来看下CNA是如何执行命令的。首先是执行系统自带CMD命令，采用bshell,如执行whoami，脚本代码如下执行CMDbshell($1,"whoami");执行多条CMD可用&符号连接bshell($1,"whoami&net