TZ是一个由golang开发跨全平台，集主机发现，漏洞扫描，漏洞利用为一体的内网渗透工具。

配合cs插件生态，目标是为了做到内网渗透 all in one

在被控主机上使用TZ之前，请先初始化TZ,会将TZ文件上传到客户端c:\windows\temp\下，方便后期实用

-ip 目标ip，Examples：192.168.3.1或者192.168.3.1/24或者192.168.1.1-192.168.3.1

-p 调用插件名称

-t 线程数，默认为64

-o 结果输出到文件

exp插件特有参数

-port 目标端口，部分插件无此参数

调用全部插件进行漏洞发现，内网刷分。

大力出奇迹，内网必出洞！

FuzzPortScan 1-65535全端口扫描

Examples:main.exe -p FuzzPortScan -ip 127.0.0.1

IcmpScan imcp探测主机存活，使用ping命令探测主机是否存活

MS17_010 永恒之蓝漏洞扫描

Netbios扫描，可用于探测存活主机，获取存活主机名，隐蔽性强。

远程扫描SmbGhost漏洞，漏洞编号CVE-2020-0796,考虑到实际效果，暂未集成到CS菜单，可通过命令行使用

shell c://windows//temp//main.exe -ip 192.168.189.1/24 -p SmbGhostScan -t 16

webscan插件中包括了webtitle插件，同时会检测xray poc以及tomcat和weblogic爆破等插件。

因为weblogic存在防爆破机制，所以默认只会尝试weblogic,weblogic123两个密码

tomcat会尝试 top1000

效果如图：

ping IP为1，254结尾的主机，快速探测存活网段

Examples:main.exe -p PingGateway -ip 192.168.189.1/24 -t 24

CS插件路径 网络发现->探测网段

快速发现内网中的多网卡 高价值机器。

仅适用于Windows机器，且需要135端口开放

Examples:main.exe -ip 10.84.30.1/24 -p OxidScan

搜集本地机器信息，包括：

• 当前用户rdp链接记录
• AV进程

仅支持64位系统

所有crack插件，使用字典文件爆破时，字典文件均需包含.txt,插件才能识别是使用字典爆破，否则会当成单一密码处理。

程序内置top1000字典，在暴力破解插件中，使用关键字top1000使用

webtitle会获取尝试获取多个端口的web title，并且除了常规的request的方式获取titile外，还集成了chrome无头模式

如果你的内网机器上安装了chrome浏览器，在常规的request获取不到titile的时候，就会使用chrome去获取。

解决前端渲染的网站titile获取的问题。理论上将webtitle不会触发安全设备的告警。

webtitle插件有几个小tips，默认情况下会内置的几十个web端口获取titile。

如果我已经知道这个内网的web都是开在9999和8888这两个端口上的，可以通过-port参数来指定

还有一种情况就是，XX系统不是写在titile中的，是写在body里面的。这种情况下不可能一个个去看源码。

可以通过 -c 参数来指定关键字,就会只打印出含有关键字的web了

ftp弱口令破解

使用账号密码

Examples:main.exe -p FTP_crack -ip 192.168.189.1/24 -p 21 -c ftp:ftp

使用字典破解,字典文件需自行上传到被控主机上

Examples:main.exe -p FTP_crack -ip 192.168.189.1/24 -port 21 -c username.txt:password.txt

或者

Examples:main.exe -p FTP_crack -ip 192.168.189.1/24 -port 21 -c root:password.txt

mongodb弱口令爆破

smb弱口令破解

ssh弱口令爆破

使用账号密码

Examples:main.exe -p SSH_crack -ip 192.168.189.1/24 -port 22 -c root:root

使用字典破解,字典文件需自行上传到被控主机上

Examples:main.exe -p SSH_crack -ip 192.168.189.1/24 -port 22 -c username.txt:password.txt

在使用 sshcrack插件对ssh主机爆破成功以后，会自动探测该主机是否出外网，会检测HTTP，DNS,icmp三种出网方式

redis弱口令爆破

使用密码爆破

Examples:main -p Redis_crack -ip 192.168.189.1/24 -port 6379 -c password -t 1

使用字典破解,字典文件需自行上传到被控主机上

Examples:main.exe -p SSH_crack -ip 192.168.189.1/24 -port 22 -c username.txt:password.txt

在服务器上设置frp服务端版本0.33，配置示例，如下token可自定义，server port可自定义。然后启动frp服务器端，后续会在1w-2w这个范围内随机生成一个端口号来建立socket5服务器，注意在服务端设置好安全组放行。

填写frp服务端ip，以及端口

会使用frp启动socks5代理，将内网代理出来。

通过TZ启动的frp客户端，连接参数使用AES强加密并使用随机密钥，避免服务器连接信息泄露

常见端口扫描，默认扫描一下端口

{"22", "80,", "81", "135", "139", "443", "445", "1433", "3306", "3389", "6379", "7001", "8009 ", "8080","9200", "17001"}

可通过 -c 参数来指定想要扫描的端口，使用,分割

适用于内网中简单文件传输等等场景

Examples:main.exe -p WebServer -ip 192.168.189.1/24 -t 24

功能持续更新ing......