2026-01-04 22:22:00 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： 本文介绍了一款基于fscan魔改的内网扫描器，新增Web界面实现对Web漏洞和弱口令的一键验证，解决了内网复现难题。工具支持端口乱序扫描以规避检测，更新了国产数据库字典与非标准端口扫描，具备结果加密功能，并增强了POC盲注支持，显著提升了内网渗透的效率与隐蔽性。 综合评分： 78 文章分类： 内网渗透,安全工具,渗透测试,WEB安全,漏洞POC

cover_image

fscan魔改🪄扫描器

原创

刘一手

鹏组安全

2025年11月14日 08:41 江西

由于微信公众号推送机制改变了，快来星标不再迷路，谢谢大家！

最近安全检查中，有很多地方需要对内网进行扫描，第一想到的就是fscan，扫描出来的漏洞很多需要验证，但是很多时候要配置测试环境就很麻烦，所以对fscan进行了魔改

已关注

关注

重播分享赞

关闭

观看更多

退出全屏

切换到竖屏全屏退出全屏

鹏组安全已关注

分享视频

，时长01:57

0/0

00:00/01:57

切换到横屏模式

继续播放

[ ]

进度条，百分之0

播放

00:00

01:57

倍速

全屏

倍速播放中

0.5倍 0.75倍 1.0倍 1.5倍 2.0倍

超清流畅

您的浏览器不支持 video 标签

继续观看

fscan魔改🪄扫描器

观看更多

原创

fscan魔改🪄扫描器

鹏组安全已关注

分享点赞在看

已同步到看一看写下你的评论

视频详情

主要增加的功能

web界面结果一键验证

对扫描的web应用、端口、识别的cms、弱口令等进行分类整理；对扫描出来的web漏洞、数据库若口令等一键验证，方便在客户内网中复现

启动命令&使用

直接对扫描结果文件进行验证

./xiaomi&nbsp;--web&nbsp;--web-port&nbsp;8787&nbsp;--web-load&nbsp;.res.txt

在扫描时实时更新结果启动

./xiaomi --web --web-port 8787 -h 127.0.0.1&nbsp;#    可使用hf，其他参数直接加在后面即可

端口乱序扫描

新增端口乱序扫描开关：运行加上 -prand 即按随机顺序扫描端口；不加保持原顺序。

应用范围：端口探测 PortScan 和组合列表 NoPortScan 都会根据开关随机化端口顺序。

随机端口顺序扫描：

./xiaomi -h 192.168.1.0/24 -prand

自定义端口且乱序：

./xiaomi -h 192.168.1.1 -p 22,80,443,3306 -prand

更新默认密码字典

增加插件功能

国产数据库密码爆破：达梦zookeeper未授权检测

支持非常规端口爆破并默认扫描

3307 → MySQL14333 → MSSQL2222 → SSH6378 → Redis

输出文件加密

加密

./xiaomi -h 112.5.57.79 -encrypt

解密

./xiaomi -dd&nbsp;.res.txt

增加了一些设备的poc

poc延时函数，对盲注的支持

用法

name: poc-login-sqlrules:&nbsp; - method: POST&nbsp; &nbsp; path: /web/login&nbsp; &nbsp; headers:&nbsp; &nbsp; &nbsp; Content-Type: application/x-www-form-urlencoded&nbsp; &nbsp; follow_redirects:&nbsp;true&nbsp; &nbsp; body:&nbsp;"user_name=1' AND (SELECT 1 FROM (SELECT(SLEEP(5)))x) AND '1'='1&language=0"&nbsp; &nbsp; expression: response.delay(5) && response.status == 200

获取

关注微信公众号：鹏组安全回复fscan魔改-大保健获取

鹏组安全社区站：您身边的安全专家-情报 | 攻防 | 渗透 | 线索 | 资源社区

扫码关注

社区

鹏组安全社区：comm.pgpsec.cn

专注网络技术与骇客的一个综合性技术性交流与资源分享社区

免责声明

由于传播、利用本公众号鹏组安全所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，公众号鹏组安全及作者不为此承担任何责任，一旦造成后果请自行承担！如有侵权烦请告知，我们会立即删除并致歉。谢谢！

好文分享收藏赞一下最美点在看哦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：鹏组安全刘一手《fscan魔改🪄扫描器》