Strix自动渗透测试平台搭建与使用

admin
admin
admin
0
文章
0
评论
2025-12-22 03:56:27 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: Strix是一款由OmniSecure公司开发的自动化安全测试工具,具备完整黑客工具包、自主POC验证等核心功能。文章介绍了Strix的安装配置方法,并通过实际测试发现其在WebURL扫描方面有一定优势,能调用目录爆破、SQLMAP等工具,但在代码包扫描方面表现不如Trae等专业工具。建议在服务器性能充足的情况下使用Strix进行Web安全测试。 综合评分: 82 文章分类: 渗透测试,安全工具,WEB安全,漏洞分析,AI安全

cover_image

Strix自动渗透测试平台搭建与使用

原创

第59号安全实验室

第59号

2025年12月19日 16:05 北京

01    Strix介绍

Strix 是一款由OmniSecure公司开发的创新自动化安全测试工具,其特点是“自主的人工智能代理,其行为就像真正的黑客一样”。Strix具备开箱即用的完整黑客工具包、协作且可扩展的代理团队、自主POC验证避免误报、以开发者为中心的命令行界面、提供可操作的报告、提供自动修复等核心功能。Strix除了支持开源私有化部署之外,还提供SaaS云平台服务。Strix的核心能力如下图所示

02    Strix本地搭建

Strix的官网地址为

https://usestrix.com/

其github代码仓库地址为

https://github.com/usestrix/strix

可以从上述途径中获取Strix的官方问题以及最新资讯

Strix支持Linux、macOS 和 Windows 等平台,且安装比较简单,可以使用脚本安装或者pipx安装两种方式

脚本安装

curl -sSL https://strix.ai/install | bash

pipx安装

pipx install strix-agent

或者直接下载编译好的二进制文件运行即可

https://github.com/usestrix/strix/releases

配置大模型API,这里使用deepseek大模型

export STRIX_LLM=”deepseek/deepseek-chat” export LLM_API_KEY=”sk-xxxxxx”

配置好后既可以使用Strix进行自动化渗透了

03   Strix自动化渗透测试

Strix支持本地代码包、github仓库、web应用url三种扫描模式

扫描本地代码包

strix –target ./app-directory

扫描github仓库

strix –target https://github.com/org/repo

扫描web url

strix –target https://your-app.com

首先来进行最常规的web url扫描测试,这里用AI编写了一个轻量级的靶场,包含XSS漏洞、SSRF漏洞、任意文件读取漏洞、敏感信息泄露漏洞四种常见漏洞

扫描命令为

strix –target http://192.168.30.168:5000/

终端模式下需要启用无头模式

strix -n –target http://192.168.30.168:5000/

成功开始扫描的界面如下

在经过5小时的运行后,仍未扫描完毕,工具提示发现2个漏洞(可能是因为Strix服务器1C2G的配置过低,服务器性能监控一直在提示out of memory)

在dist/strix_runs/目录下会生成结果报告,包含md格式的漏洞详情和csv格式的漏洞汇总表

漏洞结果如下,详情中会提供成功利用的验证POC

接下来测试Strix工具对代码包的扫描能力,同样是让AI编写一个具有SQL注入漏洞、反序列化漏洞、RCE漏洞、SSRF漏洞、XXE漏洞、越权漏洞、信息泄露漏洞的JavaWeb项目。

扫描命令为

./strix -n –target /tmp/vulnerable-enterprise-app

运行2小时,扫描未完成,未找出任何漏洞

而将代码包用Trae进行审计,不到5分钟已经审计出全部预设的漏洞…

04   总结

从扫描目标URL的方式来说,发现Strix还是有一定的可取之处,在扫描日志中发现它会调用目录爆破、SQLMAP等工具进行扫描,也会根据参数特征进行相应的测试,结果报告内容结构完整,在服务器性能允许+忽略token成本的前提下,应该可以获得不错的扫描效果。而对于扫描代码包进行源代码审计来说,Strix与Trae、Cursor等原生AI IDE来说,可能就不太有竞争力了。

RECOMMEND

往期推荐

美创科技第59号安全实验室,建有余杭区首家“网络与信息安全管理员技能大师工作室”,专注于数据安全技术领域研究,聚焦于安全防御理念、攻防技术、漏洞挖掘等专业研究,进行知识产权转化并赋能于产品。自2021年起,累计向 CNVD、CNNVD 等平台提报数千个高质量原创漏洞,并入选国家信息安全漏洞库(CNNVD)技术支撑单位(二级)、信创政务产品安全漏洞库支撑单位,团队申请发明专利二十余项,发表多篇科技论文,著有《Java代码审计实战》《数据安全实践指南》、《内网渗透实战攻略》等。

Strix #自动渗透平台

查看原文:《Strix自动渗透测试平台搭建与使用》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  9