溯光,英文名“TrackRay”,意为逆光而行,追溯光源。同时致敬安全圈前辈开发的“溯雪”,“流光”。
溯光是一个开源的插件化渗透测试框架,框架自身实现了漏洞扫描功能,集成了知名安全工具:Metasploit、Nmap、Sqlmap、AWVS等。
溯光使用 Java 编写,SpringBoot 作为基础框架,JPA + HSQLDB嵌入式数据库做持久化,Maven 管理依赖,Jython 实现 Python 插件调用,quartz 做任务调度,freemarker 做视图层,Websocket 实现命令行式插件交互。
框架可扩展性高,支持 Java、Python、JSON 等方式编写插件,有“漏洞扫描插件”、“爬虫插件”、“独立应用插件”、“内部插件”、“无交互插件”和“可交互插件” 等插件类型。
如有任何使用上的问题请提交 issue。
如果你具备插件开发的能力,希望你也能一起来维护这个项目。
项目开发不易,如果可以的话请留下你的 star 表示对我的鼓励。
- 提供 WEB 服务接口
- 使用只需要一个浏览器
- 集成 AWVS、SQLMap、NMap、Metasploit、Kunpeng、XRay 等安全工具
- 内置漏洞扫描器
- 强大、易用、方便、开源
本项目禁止用于商业用途
溯光开发的初衷是方便安全研究者检测漏洞以及教育学习使用。
溯光严格禁止一切通过本程序进行的违反任何国家法律行为,请在合法范围内使用本程序。
我们不会上传未公开的漏洞插件,也不允许插件中存在破坏性的语句,目前module模块只写了几个有代表性的模块供开发者参考。
使用本程序则默认视为你同意我们的规则,请您务必遵守道德与法律准则。
如不遵守,后果自负,开发者将不承担任何责任!
可以通过源码编译为jar包后运行,或直接运行已编译好的jar包
- 在 releases 下载
trackray-x.x.x.src.zip
解压 - 如已安装 maven、jdk 等溯光编译所必备环境可忽略第2-5条
docker build -t trackray_beta .
构建镜像docker run -dit -p 8080:8080 --name trackray_runtime trackray_beta
启动容器,可根据需求自行设定参数docker exec -it trackray_runtime /bin/bash
进入溯光工作目录- 启动有需要的服务,如AWVS、msfprc、SQLMap等。并根据自己的需求修改
application.properties
配置文件 - 执行
nohup java -jar trackray.jar &
或java -jar trackray.jar
,若提示未找到文件请先执行一遍mvn clean package
- 访问
http://127.0.0.1:8080
- 在 releases 下载
trackray-x.x.x.bin.zip
解压 - 启动有需要的服务,如AWVS、msfprc、SQLMap等。并根据自己的需求修改
application.properties
配置文件 - 执行
nohup java -jar trackray.jar &
或java -jar trackray.jar
- 访问
http://127.0.0.1:8080
- 提问前请阅读一遍《提问的智慧》。
- 本项目未做安全防护,部分代码会存在安全漏洞。
- MSF控制台和交互式插件控制台,尽量使用 Firefox 浏览器访问。
- 开发插件建议使用
Intellij IDEA
,需要安装 lombok 插件。 - 登录密码在
application.properties
中修改trackray.account
和trackray.password
。
日期 | 描述 |
---|---|
2019-08-16 | 溯光3.1.0更新 |
2019-05-14 | 溯光3更新 |
2019-03-11 | 新增jython支持,可通过PyScript.java 插件调用python脚本 |
2019-02-02 | 修复在linux环境下相关bug |
2019-01-30 | 溯光2更新 |
2018-10-29 | 溯光渗透测试框架开源 |
项目由浅蓝发起并主导开发。
您的捐助将被用于
- 持续开发溯光渗透测试框架
trackray.cn
域名续费- 社区活动
- 奖励杰出贡献者
Email: blue#ixsec.org
交流群已满员,请添加作者微信邀请入群(备注溯光)。