文章总结： 本文介绍了一款名为XingRin（星环）的开源攻击面管理平台，旨在帮助组织自动发现网络资产、识别漏洞并进行持续监控。文章详细阐述了该平台的安装部署流程、环境要求及核心功能，包括子域名收集、端口扫描、指纹识别及漏洞扫描等能力。平台支持分布式扫描与自动化任务，能有效提升安全运营效率，适合安全从业者进行资产梳理与隐患排查。 综合评分： 82 文章分类： 安全工具,渗透测试,安全建设,漏洞分析,产品介绍

XingRin（星环）：一个功能强大的开源攻击面管理平台

原创

网安武器库 网安武器库

网安武器库

2026年3月5日 13:47 山东

更多干货  点击蓝字 关注我们

注：本文仅供学习，坚决反对一切危害网络安全的行为。造成法律后果自行负责！

往期回顾

·PYDNS-Scanner：一款高性能的DNS扫描利器

·Nuclei GUI Scanner ：基于 PyQt5 开发的 Nuclei 漏洞扫描图形化工具

·Onyx：高效辅助的一站式渗透测试工具集

·AI-Reverse-Engineering：ai逆向工具实战和CTF适用

·Venom：全面的渗透测试利器

·猫头鹰 XSS 平台：一个针对XSS漏洞的测试平台

介绍

    XingRin – 星环

    XingRin（中文名：星环） 是一款开源的攻击面管理平台。简单来说，它是一个能够自动帮你发现网络资产、扫描漏洞并进行持续监控的综合性安全工具

    在数字化时代，很多组织并不清楚自己有多少网站、服务器暴露在互联网上。XingRin就像一位资产管家，自动帮你：

1.理清家底：发现所有子域名、IP、网站和Web服务

2.找出隐患：识别系统是否存在已知漏洞

3.持续监控：实时跟踪资产变化，发现新增或下线的资产

安装介绍

环境要求：

1.操作系统: Ubuntu 20.04+ / Debian 11+

2.系统架构: AMD64 (x86_64) / ARM64 (aarch64)

3.硬件: 2核 4G 内存起步，20GB+ 磁盘空间

    访问下述网址，即为Upload Forge工具的源文件地址：

https://github.com/yyhuni/xingrin

    在目标文件夹中打开终端后，在网址中复制克隆地址：

    在终端中输入：

git clone https://github.com/yyhuni/xingrin.gitcd xingrin

安装并启动：

sudo ./install.sh# 中国大陆用户推荐使用镜像加速（第三方加速服务可能会失效，不保证长期可用）sudo ./install.sh --mirror

    可以看到，系统自动开始检查并安装配置：

    配置好后可以看到：

    本机安装可以访问以下网址进入星环页面：

https://localhost:8083/

    常用命令：

# 启动服务sudo ./start.sh# 停止服务sudo ./stop.sh# 重启服务sudo ./restart.sh# 卸载sudo ./uninstall.sh

功能介绍

访问网址后可以看到：

    输入用户名和密码，进入星环：

用户名：admin密码：admin

    右上角的“快速扫描”可以帮助快速对对应域名或者IP地址进行不同类别的扫描：

    输入相应的域名或者IP或者CIDR网段或URL，进行快速扫描，每行输入为一个目标，注意输入时不需要前缀提示每行的名字，只需要输入对应域名或者IP地址内容即可。

    下一步后可以选择扫描方案，可以针对不同情况进行不同类别的扫描：

    扫描开始和结束，页面都会在消息中提示。

    在扫描过程中，可以点击进入扫描任务详情页，看到扫描的详细情况：

    提示扫描结束后，可以在相应的页面中看到对应的扫描结果。

    扫描能力：

| | | | | — | — | — | | 能力 | 工具 | 说明 | | 子域名扫描 | Subfinder, Amass, PureDNS | 被动收集 + 主动爆破，聚合 50+ 数据源 | | 端口扫描 | Naabu | 自定义端口范围 | | 站点发现 | HTTPX | HTTP 探测，自动获取标题、状态码、技术栈 | | 指纹识别 | XingFinger | 2.7W+ 指纹规则，多源指纹库 | | URL收集 | Waymore, Katana | 历史数据 + 主动爬取 | | 目录扫描 | FFUF | 高速爆破，智能字典 | | 漏洞扫描 | Nuclei, Dalfox | 9000+ POC 模板，XSS 检测 | | 站点截图 | Playwright | WebP 高压缩存储 |

    平台能力：

| | | | — | — | | 功能 | 说明 | | 目标管理 | 多层级组织，支持域名/IP 目标 | | 资产快照 | 扫描结果对比，追踪资产变化 | | 黑名单过滤 | 全局 + Target 级，支持通配符/CIDR | | 定时任务 | Cron 表达式，自动化周期扫描 | | 分布式扫描 | 多 Worker 节点，负载感知调度 | | 全局搜索 | 表达式语法，多字段组合查询 | | 通知推送 | 企业微信、Telegram、Discord | | API密钥管理 | 可视化配置各数据源 API Key |

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：网安武器库 网安武器库 网安武器库《XingRin（星环）：一个功能强大的开源攻击面管理平台》