无影(TscanPlus)，一款综合性网络安全检测和运维工具，旨在快速资产发现、识别、检测，构建基础资产信息库，协助甲方安全团队或者安全运维人员有效侦察和检索资产，发现存在的薄弱点和攻击面。

【主要功能】 端口探测、服务识别、URL指纹识别、POC验证、弱口令猜解、目录扫描、域名探测、网络空探等。

【辅助功能】 编码解码、加密解密、CS上线、反弹shell、杀软查询、提权辅助、常用命令、字典生成等。

TscanPlus 功能介绍可参考文章：《TscanPlus——一款红队自动化工具》

1、代理池的作用

在网络安全测试和渗透测试工作中，维护一个高质量高便利的代理池是非常关键的一环。随着目标系统安全防护能力的不断提升，常见的安全防护措施如IP封禁、流量监控、频率限制等，给测试工作带来了诸多挑战。特别是在大规模资产探测、爬取敏感信息以及进行弱点扫描时，如果使用单一IP地址，往往会因为频繁请求而触发防护策略，导致测试无法深入开展，甚至可能暴露测试行为。

基于此，无影新开发了代理池管理功能模块，通过多种代理录入、多种场景切换、多种协议支持、自动验证和删除等功能，为安全测试人员提供了更便捷的代理池管理功能。

2、代理池功能介绍

代理池模块目前主要包括：添加代理、自动爬取代理、代理场景切换、代理验证、代理Listener管理等功能。

在开启代理Listener后，可配合不同代理切换模式，轮训、遍历代理池中的所有可用代理，提供代理给无影或其他外部应用进行使用。

2.1 添加代理

添加代理包括三种方式：单个添加、批量添加、自动爬取

1、单个添加只需要选择代理类型，IP、端口、认证账号密码登信息，手工录入即可。

2、批量录入支持多协议、账号密码认证等格式批量导入。

每行一个代理地址，格式为 type://user:pass@ip:port，例如：
http://127.0.0.1:8081、socks5://127.0.0.1:1080
代理如需要账号密码认证，请使用：
http://user:[email protected]:8081、socks5://user:[email protected]:1080

3、自动爬取功能支持从Fofa、Quake、Hunter三个空间探测平台上根据查询语法抓取免费代理。

配置好启用的API平台，设置抓取上限数量和查询语法即可进行抓取。（注意：key需要在空间测绘API配置中修改）

不过免费代理的质量一般不高，所以使用时要慎重。

爬取成功后提示：

成功添加到代理池：

2.3 代理Listener管理

代理Listener是使用无影开启一个本地代理端口，这样无影或其他软件均可配置该代理地址来共同使用代理池。

开启代理Listener前需要先配置代理监听信息，如代理监听IP、端口、协议、账号密码等。

代理协议可以选HTTP或SOCKS5，但需要注意：

1、HTTP类型代理：可使用代理池中所有协议的代理，包括HTTP或Socks5，但HTTP类型只能用来代理web协议，也就是没法用HTTP代理来进行端口扫描或域名枚举等。 

2、Socks5类型代理：只能使用代理池中的Socks5代理，无法使用代理池中的HTTP类型代理，但Socks5类型代理可用来扫描端口。

建议根据使用场景选用不同代理类型代理。

配置好代理后可以直接启动，也可先把所有代理校验后再启动，这样校验失败的代理就不会消耗资源了。

2.3 代理管理与验证

在代理池中添加了代理后，可对代理进行单个或批量的有效性验证，设置合适的验证网站和关键词即可，如果是纯内网代理也可设置内网验证地址。

如果启用了“删除无效代理”功能，那么会对已有代理进行检测，累计三次无效后自动删除该代理。

另外，可以对单个代理进行单独的编辑、验证、启用或禁用、删除等操作。如果代理被禁用或延时<0，那么不管哪种场景切换都不用使用该代理。

另外，可以在“延时”列单击两次，可对代理池根据延时进行排序。延时中显示-1的为代理访问失败，每失败次数+1，延时会-1。

2.4 代理场景切换

无影的代理池管理功能根据渗透测试常见场景设计了五种切换模式：

1、轮询代理模式：从代理池中依次抽选延时最小的代理，当代理无效时自动切换下一个，依次轮询。 

2、根据次数更换：设定一个代理最多使用次数，比如10次，那么每个代理IP地址在使用10次后会自动切换下一个。比如有些waf可能会拦截10次攻击后就会封ip，那么可以使用这种模式来规避IP封禁。 

3、根据时间更换：设定一个代理最长使用时间，比如3分钟，那么每个代理IP地址在使用3分钟后会自动切换下一个。 

4、根据场景：在“代理验证”中配置合适的验证网站，当验证失败时切换下个代理。比如该网站有waf，但不确定什么时候会封ip，那么可以使用该模式，IP被封后会自动切换下一个代理。 

5、固定代理：每次固定使用延时最短的代理地址，不切换IP，适用于代理质量比较高或代理较少的情况。

另外，在启动代理Listener后，如果切换代理模式，那么新模式会马上生效，无需重启Listener，当没有可用代理时会自动关闭Listener。

2.5 实战使用

1、网页访问测试

以“根据次数更换”场景为例，同时设置1次更换。在开启了代理Listener后，在浏览器中配置该代理，之后每次访问http://myip.ipip.net/都可发现使用了不同的代理地址。

2、目录探测测试

我们在云VPS上开启了一个web服务，同时启用了waf功能，当请求频率较高或有攻击行为时就会封ip三分钟。

基于场景的代理切换模式下，可以在IP被封后自动切换IP地址。

3、其他已有功能

【特色功能】

1、内置5.2W余条指纹数据，对1万个web系统进行指纹识别仅需8-10分钟，在效率和指纹覆盖面方面应该是目前较高的了。

2、在指纹探测结果中，对130多个红队常见CMS和框架、Poc可关联CMS进行了自动标注。内置大量高质量Poc，并可外接Nuclei、Afrog、Xray等Poc工具，可实现指纹和Poc的联动，根据指纹识别的结果自动关联Poc，并可直接查看poc数据包相关信息。

3、在创建IP端口扫描、Url扫描时，可关联Poc检测、密码破解、目录扫描等功能，发现匹配的服务或产品时会自动触发密码破解或poc检测。

4、内置34种常见服务的弱口令破解，可方便管理员对内网弱口令进行排查，为提高检测效率，优选并精简每个服务的用户名和密码字典。覆盖的服务包括：SSH,RDP,SMB,MYSQL,SQLServer,Oracle,MongoDB,Redis,PostgreSQL,MemCached,Elasticsearch,FTP,Telnet,WinRM,VNC,SVN,Tomcat,WebLogic,Jboss,Zookeeper,Socks5,SNMP,WMI,LDAP,LDAPS,SMTP,POP3,IMAP,SMTP_SSL,IMAP_SSL,POP3_SSL,RouterOS,WebBasicAuth,Webdav,CobaltStrike等。

5、实现了编码解码、哈希计算、加密解密、国密算法、数据格式化、其他转换等共36种类型，其中编码解码类8种、哈希计算13种、加密解密9种、国密算法3种、数据格式化9种、其他2种。包含了AES、RSA、SM2、SM4、DES、3DES、Xor、RC4、Rabbit、Base64、Base32、URL、ASCII、各进制转换、字符串与进制转换、HTML、Unicode、MD5、Hmac、SM3、SHA1、SHA2、SHA3、NTLM、JSON格式化与压缩、XML格式化与压缩、IP地址与整数互转、String.fromCharCode、Unix时间戳互转、文本去除重复行、字母大小写、生成各类随机字符串、字符串反转、JWT解析与弱密码、一键解密OA等。

6、目录枚举默认使用HEAD方式，可对并发、超时、过滤、字典等进行自定义，内置了DirSearch的字典，可导入自己的字典文件，也可用内置字典fuzz工具进行生成。

7、内置各类反弹shell命令85条、Win内网(凭证获取、权限维持、横向移动)命令26类、Linux内网命令18类、下载命令31条、MSF生成命令21条、CS免杀上线命令等，可根据shell类型、操作系统类型、监听类型自动生成代码。

8、灵活的代理设置，可一键设置全局代理，也可以各模块单独开启代理功能，支持HTTP(S)/SOCKS5两种代理，支持身份认证。

9、快速的子域名探测，域名可联动其他子功能，可配置key后对接多个网络空间探测平台，一键查询去重。

10、内置资产分拣、JsFinder、Host碰撞、Jwt秘钥破解、IP查询、Windows提权辅助、杀软查询、shiro解密等各类工具。

TscanPlus 更多其他功能介绍可参考文章：《TscanPlus——一款红队自动化工具》https://mp.weixin.qq.com/s/vYB03ckGqeyDrOVVWFWkBA

4、软件下载

Github下载，欢迎Star：https://github.com/TideSec/Tscanplus/releases

部分功能还在完善，目前暂不提供源码，这里打包了windows/mac版本的TscanPlus供下载。

本次编译的均为x64_AMD架构，有需要x86版本或ARM版的可到星球下载。