文章总结： ChiXiao是一款专为红蓝工程师和渗透测试人员设计的跨平台安全工具箱，集成工具管理、资产测绘、漏洞管理、攻防辅助和应急响应等核心功能。该工具支持NucleiPOC编排、多引擎空间测绘、JWT攻防平台、AI研判等特性，旨在解决传统渗透测试中工具分散、环境配置繁琐的问题。项目开源地址为GitHub，文档末尾包含大模型公开课广告内容。 综合评分： 82 文章分类： 安全工具,渗透测试,红队,漏洞分析,应急响应

一款专为红蓝工程师和渗透测试人员打造的跨平台安全工具箱

点击关注👉 点击关注👉

马哥网络安全

2026年5月25日 17:00 河南

在小说阅读器读本章

去阅读

项目简介

ChiXiao (赤霄) 是一款专为红蓝工程师和渗透测试人员打造的现代化、跨平台安全工具箱。它集成了工具管理、智能研判、资产测绘与攻防辅助等核心功能，旨在解决传统渗透测试中工具分散、环境配置繁琐、协作效率低下等痛点，构建个人专属的“数字化武器库”。

功能模块

按左侧导航划分，当前主要模块如下（与你在界面上看到的菜单一一对应）：

• 仪表盘：展示版本信息、更新状态、常用入口和最近操作，作为启动后的默认首页。
• 工具箱：统一管理本地 GUI/CLI 工具，支持添加/编辑/分类、使用次数统计与按热度排序，一键启动常用渗透工具。
• 信息收集：集成空间测绘、端口扫描、目录扫描、Web 指纹识别、Google Hack 等能力，用于前期资产摸排与面宽收集。
• 漏洞管理：围绕 Nuclei 生态提供 POC 管理、扫描任务编排与 请求重发 (Repeater)，覆盖从 POC 维护到验证复现的完整闭环。
• 攻防赋能：包含反弹 Shell 生成器、攻击载荷库、JWT 攻防平台 (JWTAttack)、Java 编码辅助、地图 API 泄露检测、默认密码查询等常用攻防小工具。
• 备忘录：用于记录渗透过程中的笔记、任务清单与命令片段，支持分组与搜索。
• 网址导航：内置安全相关网站导航，可自定义收藏、编辑与分组，方便日常查阅情报与文档。
• 应急响应：提供 Web 日志分析、流量分析 (PCAP)、Windows 系统日志分析 (EVTX)、Webshell 检测与代码审计等能力，支持规则与 AI 结合的研判流程。
• 辅助工具：包括漏洞文库、仓库/字典更新、数据对比、CyberChef、IP 与文本处理、随机密码/账号生成等效率工具。

核心功能

智能工具箱 (Smart Toolbox)

• 统一入口：集中管理 Nmap、Burp Suite、sqlmap、浏览器插件等各种外部工具，一键启动。
• 环境隔离：支持为不同工具配置独立的 Java / Python / 自定义启动命令，降低环境污染与版本冲突风险。
• 快速检索：支持按名称、标签、类别搜索和按使用频次排序，高效定位目标工具。

设置工具路径，方便后面fzf模糊搜索

漏洞管理与 POC 编排

• POC 目录管理：从本地目录载入 Nuclei POC，解析元数据（名称、标签、严重级别、作者等）并以表格形式展示。
• 扫描任务中心：基于选中的 POC 一键发起扫描任务，查看实时进度与历史结果。
• 请求重发 (Repeater)：内置类 Burp Repeater 的请求调试面板，支持多标签、多次修改与对比响应，用于手工验证漏洞与调试 POC。

扫描以 【无镜 U .lab】CVE-2025-55182 dify环境 rce 漏洞环境做演示。

选择一个POC进行扫描

点击查看可以 查看具体的请求与响应数据包

可以与请求重放功能联动，点击发送至Repeater

攻防赋能中心 (Red Team Utils)

• 反弹 Shell 生成器：根据目标 IP/端口与环境，一键生成 Bash、Python、PowerShell、PHP、Java 等多语言反弹命令。
• 攻击载荷库：按“攻击面/漏洞类型/攻击链”组织常见 Payload，支持查看利用步骤与复制命令。
• JWT 攻防平台：集成 JWT 解码与安全分析、攻击向量平台、密钥爆破、Token 编辑器与生成器，覆盖 JWT 场景的从分析到利用。
• 编码/弱口令工具：Java 编码辅助、地图 API 泄露检测、默认密码/弱口令查询、密码/字典生成等。

信息收集与资产测绘 (Recon & Mapping)

• 多引擎空间测绘：聚合 Fofa、Hunter、Quake 等 API，统一搜索与导出资产，支持分页浏览与过滤。
• 端口/目录扫描：提供端口扫描与目录扫描任务的配置与结果浏览接口，辅助快速摸清暴露面。
• 指纹识别与 Google Hack：支持基础 Web 指纹识别和典型 Google Hacking 语句生成。

指纹识别截图预览

应急响应 & AI 智能研判

• Web 日志分析：支持本地 Web 访问日志导入，结合规则库与大模型进行 SQLi/XSS/Webshell 等攻击识别，并输出处置建议。
• PCAP 流量分析：针对抓包文件做会话重组、协议解析与规则命中，辅助溯源。
• 系统日志与告警扫描：对 Windows EVTX 日志进行加载、检索和规则化告警扫描，支持匹配规则与阈值规则两种模式。
• 规则管理与导入：支持新增/编辑/启用规则、导入默认规则库以及导入 JSON 规则文件，便于团队协作与经验沉淀。
• WEBSHELL检查： AI助力
• 代码审计：AI助力

项目地址

https://github.com/z50n6/ChiXiao

文章转自HACK之道，侵删

文末公开课通知

【公开课】大模型——天才还是疯子？

⏰明晚20:00，Wayne老师亲授（20+年架构经验）

✅ Ollama本地部署模型到高阶玩法

✅ Modelfile定制专属模型

✅ 部署大模型新方式

✅ 大模型“发疯”表现与解决

✅ 幻觉识别和治理

✅ Temperature设置策略与影响

👇 扫码预约免费听课

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：马哥网络安全 点击关注👉 点击关注👉《一款专为红蓝工程师和渗透测试人员打造的跨平台安全工具箱》