文章/答案/技术大牛

发布

社区首页 >专栏 >Fscan源码解读

Fscan源码解读

TomatoCool

发布于 2023-09-17 01:09:46

70000

代码可运行

文章被收录于专栏：TomatoCoolTomatoCool

运行总次数：0

代码可运行

入口函数

func main() {
    start := time.Now()
    var Info common.HostInfo
    common.Flag(&Info)
    common.Parse(&Info)
    Plugins.Scan(Info)
    t := time.Now().Sub(start)
    fmt.Printf("[*] 扫描结束,耗时: %s\n", t)
}

common.Flag：从命令行获取输入的参数，并根据参数准备程序运行的方式
common.Parse：解析输入的内容，如从文件中读取主机，将主机范围转化为主机切片
Plugins.Scan：开始进行扫描

Parse

func Parse(Info *HostInfo) {
    ParseUser()
    ParsePass(Info)
    ParseInput(Info)
    ParseScantype(Info)
}

Parse函数会解析用户的输入，得到运行时所需要的目标，参数等。

ParseUser

func ParseUser()

从全局变量或取用户输入的username和userFile，将输入的用户名和文件中的用户名合并，再去重，最后把得到的用户名切片返回到全局变量Userdict[name]中。

Userdict保存了常见用户名信息，例如Userdict['mysql']的内容为{"root", "mysql"}。

ParsePass

func ParsePass(Info *HostInfo)

从全局变量获取用户输入的password和passFile，将输入的密码和文件中的密码合并，再去重，最后把得到的密码切片返回到全局变量Passwords中。

Passwords是一个字符串切片，用来保存密码信息。

ParsePass还对URL，URLFile，PortFile这三个变量进行解析，将信息返回到Urls和Info.Ports中。

这里是否有些不严谨？

ParseInput

func ParseInput(Info *HostInfo)

初始化Info.Ports，添加web常见端口和host常见端口，将用户额外输入的PortAdd，UserAdd，PassAdd分别添加到对应的全局变量中。如果用户指定了代理，会将代理也添加到对应的全局变量中。

ParseScantype

func ParseScantype(Info *HostInfo)

处理用户输入的Scantype，根据扫描类型指定要扫描的端口，并赋值给Info.Ports。

使用switch对Info.Ports进行赋值，是否可以改为对Info.Ports添加端口，实现同时指定多种扫描类型？

Scan

获取主机切片

Hosts, err := common.ParseIP(info.Host, common.HostFile, common.NoHosts)
if err != nil {
    fmt.Println("len(hosts)==0", err)
    return
}

ParseIP函数会将info.Host，common.HostFile中的字符串解析成单个的主机字符串，并放到一个切片中，同时将common.NoHosts中的主机排除，最后返回一个包含目标主机的切片。

存活主机扫描

if common.NoPing == false && len(Hosts) > 0 {
    Hosts = CheckLive(Hosts, common.Ping)
    fmt.Println("[*] Icmp alive hosts len is:", len(Hosts))
}
if common.Scantype == "icmp" {
    common.LogWG.Wait()
    return
}
common.GC()

CheckLive函数(源码解读在icmp.go中)会返回包含存活主机的切片，common.Ping是一个布尔值，表示是否进行ping扫描。LogWG.Wait()会等待CheckLive函数中的goroutine执行完毕后，再执行后面的代码，因为里面有Add和Done操作。执行完毕后进行一次垃圾回收。

common.GC()是封装后的GC函数。

开放端口扫描

var AlivePorts []string
if common.Scantype == "webonly" || common.Scantype == "webpoc" {
    AlivePorts = NoPortScan(Hosts, info.Ports)
} else if common.Scantype == "hostname" {
    info.Ports = "139"
    AlivePorts = NoPortScan(Hosts, info.Ports)
} else if len(Hosts) > 0 {
    AlivePorts = PortScan(Hosts, info.Ports, common.Timeout)
    fmt.Println("[*] alive ports len is:", len(AlivePorts))
    if common.Scantype == "portscan" {
        common.LogWG.Wait()
        return
    }
}
if len(common.HostPort) > 0 {
    AlivePorts = append(AlivePorts, common.HostPort...)
    AlivePorts = common.RemoveDuplicate(AlivePorts)
    common.HostPort = nil
    fmt.Println("[*] AlivePorts len is:", len(AlivePorts))
}
common.GC()

首先判断扫描类型，如果是web扫描或者主机名扫描，则调用NoPortScan扫描info.Ports中的端口，此时info.Ports中的端口都是指定端口。其它情况则调用PortScan函数(源码解读在portscan.go中)扫描存活的端口。LogWG.Wait()会等待PortScan函数中的goroutine执行完毕后，再执行后面的代码。最后加上HostPort中的"host:ip"，去重后得到完整的AlivePorts。将HostPort的值设为空，再进行垃圾回收，释放内存。

暂时不清楚为什么要加上HostPort中的"host:ip"，唯一确定的是ParseIP.go中对HostPort进行了操作，然而只是从文件中读取了"host:port"，并没有进行扫描操作。(是否默认用户输入的"host:port"一定存在？)

漏洞扫描

存活主机扫描与开放端口扫描后，会对常见的漏洞进行扫描，如ms17010，ve20200796等，通过AddScan函数针对这些漏洞的端口进行扫描，暂时不做过多的分析。

AddScan函数

func AddScan(scantype string, info common.HostInfo, ch *chan struct{}, wg *sync.WaitGroup) {
    *ch <- struct{}{}
    wg.Add(1)
    go func() {
        Mutex.Lock()
        common.Num += 1
        Mutex.Unlock()
        ScanFunc(&scantype, &info)
        Mutex.Lock()
        common.End += 1
        Mutex.Unlock()
        wg.Done()
        <-*ch
    }()
}

参数说明：

scantype：扫描的类型
info：主机信息
ch：用于计数的管道
wg：等待组

info参数实际上是通过for循环反复对Scan函数中的info变量赋值而产生的。每次循环都对info.Host，info.Ports重新赋值，再传入到AddScan中。

Scan函数部分代码：

for _, targetIP := range AlivePorts {
    info.Host, info.Ports = strings.Split(targetIP, ":")[0], strings.Split(targetIP, ":")[1]
    ...
    //  info.Ports实际上是scantype
    AddScan(info.Ports, info, &ch, &wg)

AddScan函数只在Scan函数中的漏洞扫描过程中调用，并且Scan函数通过多次调用AddScan函数会开启多个goroutine执行ScanFunc函数，由于是并发执行程序，因此需要共用同一个等待组，当所有AddScan函数中的ScanFunc函数执行完毕后，Scan函数才会继续执行。AddScan函数中的Num和End是用来计数的，分别表示已开启的任务数量和已完成的任务数量。Mutex是互斥锁，防止多个goroutine同时对Num和End操作时产生冲突导致结果不正确。

对单个参数进行操作，是否可以改用原子锁提高性能？

ScanFunc函数

func ScanFunc(name *string, info *common.HostInfo) {
    f := reflect.ValueOf(PluginList[*name])
    in := []reflect.Value{reflect.ValueOf(info)}
    f.Call(in)
}

AddScan函数会调用ScanFunc函数，并传入name参数(AddScan中的scantype)，通过反射从PluginList中取出name对应的函数名。同理将info转化成对应的参数，供f调用。

IsContain函数

func IsContain(items []string, item string) bool {
    for _, eachItem := range items {
        if eachItem == item {
            return true
        }
    }
    return false
}

判断元素是否在切片中。

icmp.go

CheckLive函数

chanHosts := make(chan string, len(hostslist))

chanHosts用来接收存活的主机地址。

go func() {
    for ip := range chanHosts {
        if _, ok := ExistHosts[ip]; !ok && IsContain(hostslist, ip) {
            ExistHosts[ip] = struct{}{}
            if common.Silent == false {
                if Ping == false {
                    fmt.Printf("(icmp) Target %-15s is alive\n", ip)
                } else {
                    fmt.Printf("(ping) Target %-15s is alive\n", ip)
                }
            }
            AliveHosts = append(AliveHosts, ip)
        }
        livewg.Done()
    }
}()

接下来开启一个goroutine，从chanHosts中读取存活的主机并输出。

ExistHosts[ip]用来判断主机是否被输出过，如果没有，则添加一个ExistHosts[ip]，再将ip进行输出。IsContain判断ip是否在目标范围(即hostslist)内(一般不会出现目标外的ip)。

if Ping == true {
    RunPing(hostslist, chanHosts)
}

根据全局变量Ping判断是否用RunPing函数探测。

else {
    //优先尝试监听本地icmp,批量探测
    conn, err := icmp.ListenPacket("ip4:icmp", "0.0.0.0")
    if err == nil {
        RunIcmp1(hostslist, conn, chanHosts)
    } else {
        common.LogError(err)
        //尝试无监听icmp探测
        fmt.Println("trying RunIcmp2")
        conn, err := net.DialTimeout("ip4:icmp", "127.0.0.1", 3*time.Second)
        defer func() {
            if conn != nil {
                conn.Close()
            }
        }()
        if err == nil {
            RunIcmp2(hostslist, chanHosts)
        } else {
            common.LogError(err)
            //使用ping探测
            fmt.Println("The current user permissions unable to send icmp packets")
            fmt.Println("start ping")
            RunPing(hostslist, chanHosts)
        }
    }
}

函数解析：

//  监听本地网络地址laddr，网络类型net必须是面向数据包的网络类型
func ListenPacket(net, laddr string) (PacketConn, error)
//  在网络network上连接地址address，并返回一个Conn接口。
func Dial(network, address string) (Conn, error)
//  同Dial函数，增加了超时
func DialTimeout(network, address string, timeout time.Duration) (Conn, error)

如果Ping为false，则使用icmp检测。

首先建立一个conn监听本地icmp网络地址，如果建立成功，则运行RunIcmp1函数
如果建立失败，则进行无监听icmp探测，会建立一个连接conn连接本地回环地址，如果建立成功，则运行RunIcmp2函数
如果还建立失败，就使用Ping方法进行检测

使用defer关键字，在程序结束时自动关闭conn。

livewg.Wait()
close(chanHosts)

在RunPing，RunIcmp1，RunIcmp2函数中，如果有存活主机，会对livewg执行Add操作；在前面接收结果的goroutine中，成功接收结果会执行Done操作，当所有结果接收完时，等待组livewg才会释放，然后关闭结果管道。

if len(hostslist) > 1000 {
    arrTop, arrLen := ArrayCountValueTop(AliveHosts, common.LiveTop, true)
    for i := 0; i < len(arrTop); i++ {
        output := fmt.Sprintf("[*] LiveTop %-16s 段存活数量为: %d", arrTop[i]+".0.0/16", arrLen[i])
        common.LogSuccess(output)
    }
}
if len(hostslist) > 256 {
    arrTop, arrLen := ArrayCountValueTop(AliveHosts, common.LiveTop, false)
    for i := 0; i < len(arrTop); i++ {
        output := fmt.Sprintf("[*] LiveTop %-16s 段存活数量为: %d", arrTop[i]+".0/24", arrLen[i])
        common.LogSuccess(output)
    }
}

return AliveHosts