文章总结： 本文档介绍了一款针对FnOS系统的综合漏洞利用工具，提供Web和桌面两种界面。该工具集成了资产清点、LFI漏洞检测、文件系统深度浏览及远程命令执行等功能，Web版支持RSA/AES加密通信以规避WAF检测。文章详细阐述了工具的背景、双版本特色、环境配置步骤及核心功能模块的使用方法，并附带项目链接供下载使用，旨在为安全测试人员提供高效的漏洞验证与利用手段。 综合评分： 84 文章分类： 安全工具,渗透测试,漏洞POC,WEB安全

FnOS GUI Exploit Tool:针对 FnOS 系统的综合漏洞利用工具

网安武器库 网安武器库

网安武器库

2026年2月22日 12:23 山东

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·Web-Check：一款全面的web网站信息和漏洞扫描工具

·Super Xray：一款基于 Xray 的漏洞扫描工具

·URLFinder：一款高效网页内部隐藏链接挖掘工具

·upload_forge：CTF利器-文件上传漏洞扫描工具

·Web-SurvivalScan：用于快速验证资产存活的轻量化渗透测试扫描工具

·Havoc：现代化后渗透命令与控制(C2)工具

背景分析

这是一款专为 FnOS 系统打造的全功能安全测试工具，提供 网页端 Web UI 和 桌面端 Desktop GUI 两种操作界面，集成了资产清点、漏洞检测、文件系统访问、远程命令执行（RCE）以及敏感信息获取等核心安全测试功能。

项目链接

https://github.com/nyzx0322/FnOS-GUI-Exploit-Tool

双界面版本特色

1. Web 界面版 (v2.1.1) – 推荐使用

启动入口 ： app.py核心优势 ：采用现代化网页设计，支持多目标并行管理，拥有直观的可视化界面，无需本地图形环境即可运行技术优化 ：针对 RCE 通信通道进行了深度改进，实现了长连接心跳机制，增强了二进制数据传输的兼容性

2. 桌面客户端 (传统版 v2.0)：已停止更新

启动入口 ： run_legacy_gui.py核心优势 ：基于 Tkinter 开发的单文件可执行程序，提供更贴近原生终端的 RCE 操作体验，内置系统状态监控仪表盘

环境配置与运行指南

依赖安装

确保系统已安装 Python 3.8 或更高版本

pip install -r requirements.txt

启动方式 Web 版启动（推荐）

python app.py

启动后通过浏览器访问： http://127.0.0.1:7001

 桌面版启动

python run_legacy_gui.py

核心功能

核心安全测试功能

1. 资产管理与自动扫描

批量导入 ：支持通过 CSV 文件批量导入测试目标，自动解析 IP 地址、端口配置及通信协议状态追踪 ：实时监控各目标的扫描进度及已发现漏洞状态智能过滤 ：基于状态标签和关键词的快速资产筛选功能

2. LFI 漏洞检测引擎

高效并发 ：可自定义线程池规模（1-100线程），实现毫秒级响应速度智能识别 ：通过检测 Linux 关键系统文件（如 /etc/os-release ）和特定路径结构，确保检测结果的准确性敏感文件探测 ：自动扫描系统敏感文件并提供在线预览功能

3. 深度文件系统浏览器

全系统访问 ：利用 LFI 漏洞实现对服务器文件系统的深度递归浏览文件操作 ：支持在线预览、快速上传/下载、删除文件以及递归打包下载目录WebDAV 路径识别 ：智能分析并提取服务器上的 WebDAV 共享路径

4. 远程命令执行终端

加密通道模式 ：自动完成 RSA 公钥获取、AES 密钥协商及有效载荷加密，通过 WebSocket 加密通道规避多数 WAF 和 IDS 检测签名验证模式 ：在获取系统私钥后，通过合法签名执行高权限命令交互体验 ：内置类终端操作界面，支持命令历史记录功能稳定性保障 ：集成 WebSocket 心跳机制，确保长时间运行任务的稳定性

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库 网安武器库 网安武器库《FnOS GUI Exploit Tool:针对 FnOS 系统的综合漏洞利用工具》