TrackRay-渗透测试自动化框架

“如果我有８小时的时间砍一棵树，我就会花费６小时磨利自己的斧子。”

—亚伯拉罕·林肯

溯光，英文名“TrackRay”，意为逆光而行，追溯光源。同时致敬安全圈前辈开发的“溯雪”，“流光”。

溯光是一个开源的插件化渗透测试框架，框架自身实现了漏洞扫描功能，集成了知名安全工具：Metasploit、Nmap、Sqlmap、AWVS等。

溯光使用 Java 编写，SpringBoot 作为基础框架，JPA + HSQLDB嵌入式数据库做持久化，Maven 管理依赖，Jython 实现 Python 插件调用，quartz 做任务调度，freemarker + thymeleaf 做视图层，Websocket 实现命令行式插件交互。

框架可扩展性高，支持 Java、Python、JSON 等方式编写插件，有“漏洞扫描插件”、“爬虫插件”、“MVC插件”、“内部插件”、“无交互插件”和“可交互插件” 等插件类型。

如有任何使用上的问题请前往 iZone 社区溯光板块或者提交 issue。

如果你具备插件开发的能力，希望你也能一起来维护这个项目。

项目开发不易，如果可以的话请留下你的 star 表示对我的鼓励。

特点

• 提供 WEB 服务接口
• 使用只需要一个浏览器
• 集成知名安全工具
• 内置漏洞扫描器
• 强大、易用、方便、开源

功能展示

主页

登录

任务创建

任务列表

任务详情

无交互接口插件调用

MVC插件示例

交互式插件控制台

MSF 控制台

文档

安装说明

https://github.com/iSafeBlue/TrackRay/blob/master/docs/%E5%AE%89%E8%A3%85%E8%AF%B4%E6%98%8E.md

插件开发

https://github.com/iSafeBlue/TrackRay/blob/master/docs/%E6%89%A9%E5%B1%95%E5%BC%80%E5%8F%91.md

功能介绍

/task/create 创建任务

/task/destroy 销毁任务

/task/process 开启任务

/task/data 任务数据

/task/find 查找任务

/plugin/list 插件列表

/plugin/use 调用插件

/plugin/result 插件执行结果

/plugin/stop 结束插件线程

/manage 管理后台

/manage/create 创建任务

/manage/task 任务列表

/api 无交互式插件入口

/console 交互式插件控制台

/msf metasploit 控制台

注意

• 本项目未做安全防护，部分代码会存在安全漏洞。
• MSF控制台和交互式插件控制台，尽量使用 Firefox 浏览器访问。
• 开发插件建议使用 Intellij IDEA，需要安装 lombok 插件。

ChangeLog

.

溯光3更新

贡献者

项目由浅蓝发起并主导开发。

致谢名单

赞助

您的捐助将被用于

• 持续开发溯光渗透测试框架
• trackray.cn 域名续费
• 社区活动
• 奖励杰出贡献者

申明

溯光遵循 GPL 开源协议，请务必了解。

本项目禁止用于商业用途

溯光开发的初衷是方便企业的安全研究者检测漏洞以及教育学习使用。

我们严格禁止一切通过本程序进行的违反任何国家法律行为，请在合法范围内使用本程序。

我们不会上传未公开的漏洞插件，也不允许插件中存在破坏性的语句，目前module模块只写了几个有代表性的模块供开发者参考。

使用本程序则默认视为你同意我们的规则，请您务必遵守道德与法律准则。

如不遵守，后果自负，开发者将不承担任何责任！

Github项目地址：

https://github.com/iSafeBlue/TrackRay

这个框架可以先用来刷刷SRC看看，但是它的作用不仅于此

可以自己深化改造，相信会是一个很称手的兵器