✨关于溯光

溯光,英文名“TrackRay”,意为逆光而行,追溯光源。同时致敬安全圈前辈开发的“溯雪”,“流光”。

溯光是一个开源渗透测试框架,框架自身实现了漏洞扫描功能,集成了知名安全工具:Metasploit、Nmap、Sqlmap、AWVS、Burpsuite等。

溯光使用 Java 编写,SpringBoot 作为基础框架,JPA + HSQLDB嵌入式数据库做持久化,Maven 管理依赖,Jython 管理 Python 插件,quartz 做任务调度,freemarker 做视图层,Websocket 实现命令行式插件交互。

image-20201213174038075

⭐️特点

  • 使用只需要一个浏览器
  • 集成 AWVS、SQLMap、NMap、Metasploit、Burpsuite、Crawlergo、Kunpeng、XRay 等安全工具
  • 内置多个渗透测试辅助插件
  • 方便、开源

image-20201213174334998

image-20201213174413633

⚡️快速使用

docker启动
  1. git clone --depth=1 https://github.com/iSafeBlue/TrackRay.git 或下载 releases 最新版本源码
  2. docker build -t trackray_beta . 构建镜像
  3. docker run -dit -p 80:80 --name trackray_v3 trackray_beta 启动容器,可根据需求自行设定参数
  4. docker exec -it trackray_v3 /bin/bash 进入溯光工作目录
  5. 启动有需要的服务,如 AWVS、msfprc、SQLMap 等。并根据自己的需求修改application.properties配置文件
  6. 下载溯光依赖资源文件,将文件移动到 /release/ 目录
  7. 进入发布目录 cd release/,运行溯光nohup java -jar trackray.jar &java -jar trackray.jar,若提示未找到文件请先执行一遍mvn clean package
  8. 访问http://127.0.0.1
本地启动
  1. git clone --depth=1 https://github.com/iSafeBlue/TrackRay.git 或下载 releases 最新版本源码
  2. 启动有需要的服务,如AWVS、msfprc、SQLMap等。并根据自己的需求修改application.properties配置文件或直接通过启动参数配置
  3. 下载溯光依赖资源文件,将文件移动到 /release/ 目录
  4. 执行 Maven 编译命令 mvn clean package
  5. 进入发布目录 cd release/,运行溯光nohup java -jar trackray.jar &java -jar trackray.jar
  6. 访问http://127.0.0.1
溯光依赖资源

链接: https://pan.baidu.com/s/1lVAcB1r4gLJxzYXWtSs5xg 提取码: eexr

下载资源文件解压后将对应版本的“resource”目录移动到“release”目录下

❤️注意

  • 提问前请阅读一遍《提问的智慧》
  • 本项目未做安全防护,部分代码会存在安全漏洞。
  • MSF控制台交互式插件控制台,尽量使用 Firefox 浏览器访问。
  • 开发插件建议使用 Intellij IDEA,需要安装 lombok 插件。
  • 登录密码在 application.properties 中修改 trackray.accounttrackray.password

😁开始正文

作者建议使用Windows系统,而我尝试过 kali 安装 失败告终

然后我又尝试了 docker 安装 还是不太行

Windows 我没开始安装,但是相信你读完这篇文章会有一定的了解

git代理加速

1
2
3
4
# [vi/notepad] ~/.gitconfig
# ------
[http]
proxy = http://127.0.0.1:8080

clone TrackRay

1
2
git clone --depth=1 https://github.com/iSafeBlue/TrackRay.git
cd TrackRay/

docker加速

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
vi [/etc/docker/daemon.json]/[ /etc/default/docker]
{
"registry-mirrors": [
"http://hub-mirror.c.163.com",
"https://reg-mirror.qiniu.com",
"https://registry.docker-cn.com",
"https://registry.hub.docker.com"
],
"proxies":
{
"default":
{
"httpProxy": "http://127.0.0.1:8080",
"httpsProxy": "http://127.0.0.1:8080",
"noProxy": "hub-mirror.c.163.com,reg-mirror.qiniu.come,registry.docker-cn.com"
}
}
}

配置 mvn

mvn官网 MVN 下载 Binary tar.gz archive

1
2
3
4
5
6
7
8
9
10
11
wget https://downloads.apache.org/maven/maven-3/3.6.3/binaries/apache-maven-3.6.3-bin.tar.gz
sudo mkdir /opt/maven
sudo tar zxvf apache-maven-3.6.3-bin.tar.gz -C /opt/maven
sudo vi /etc/profile
# ---
export M2_HOME=/opt/maven/apache-maven-3.5.0
export CLASSPATH=$CLASSPATH:$M2_HOME/lib
export PATH=$PATH:$M2_HOME/bin
# ---
source /etc/profile
mvn -v
换源

可以看一下表哥的 文章

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
vi /opt/maven/apache-maven-3.5.0/conf/settings.xml
# ----
<mirrors>
<!-- mirror
| Specifies a repository mirror site to use instead of a given repository. The repository that
| this mirror serves has an ID that matches the mirrorOf element of this mirror. IDs are used
| for inheritance and direct lookup purposes, and must be unique across the set of mirrors.
|
<mirror>
<id>mirrorId</id>
<mirrorOf>repositoryId</mirrorOf>
<name>Human Readable Name for this Mirror.</name>
<url>http://my.repository.com/repo/path</url>
</mirror>
-->
<mirror>
<id>nexus-aliyun</id>
<mirrorOf>*</mirrorOf>
<name>Nexus aliyun</name>
<url>http://maven.aliyun.com/nexus/content/groups/public</url>
</mirror>
</mirrors>

构造镜像

1
2
3
4
5
6
docker build -t trackray_beta .
# 按照需求更改
docker run -dit -p 80:80 --name trackray_v3 trackray_beta
# 进入命令行
docker exec -it trackray_v3 /bin/bash
# 修改 /release/application.properties

这里有一个bug 默认密码才能登陆,xray启动不了

启动

那必须是进入命令行启动呀!

1
java -jar trackray.jar burpsuite awvs msf sqlmap

完结傻花,顺便问一下 Ciphey 这款加密解密工具有大佬弄个好了吗?

XRSec has the right to modify and interpret this article. If you want to reprint or disseminate this article, you must ensure the integrity of this article, including all contents such as copyright notice. Without the permission of the author, the content of this article shall not be modified or increased or decreased arbitrarily, and it shall not be used for commercial purposes in any way