文章总结: ARL资产灯塔系统完成全面现代化重构,搭建完整多维闭环资产侦察体系,覆盖边界探测、指纹识别与漏洞检测全链路。系统搭载Chromium动态爬虫与Nuclei漏洞扫描,融合万级高精度指纹库,支持ICP与天眼查企业资产联动查询及自动化任务调度。提供开发与生产环境部署方案,适用于企业资产测绘、红蓝对抗与安全巡检。 综合评分: 81 文章分类: 安全工具,渗透测试,红队,漏洞分析,WEB安全
全新ARL资产灯塔系统(重构版),多维闭环侦察体系,覆盖边界探测、指纹识别、漏洞检测全链路场景
owl234 owl234
渗透安全HackTwo
2026年7月8日 00:00 广东
在小说阅读器读本章
去阅读
0x01 工具介绍
ARL资产灯塔系统完成全面现代化重构,搭建完整多维闭环资产侦察体系。系统摒弃老旧引擎,搭载全新Chromium动态爬虫与Nuclei漏洞扫描能力,融合万级高精度指纹库,一站式覆盖网络边界探测、资产指纹识别、漏洞风险检测全链路场景。可联动ICP、天眼查抓取企业全域资产,支持自动化任务调度与常态化监控,轻量化部署、高效迭代,为企业资产测绘、红蓝对抗、安全巡检提供稳定可靠的技术支撑。
注意:现在只对常读和星标的公众号才展示大图推送,建议大家把渗透安全HackTwo“设为星标⭐️“否则可能就看不到了啦!
下载地址在末尾 #渗透安全HackTwo
0x02 功能介绍
✨核心特点
全局仪表盘:实时展示系统资源消耗、任务执行队列、多维资产统计与后台运行日志流。
企业资产查询:支持 ICP 备案与天眼查关联检索,一键同步资产(网站/小程序/APP/公众号/微博)下发扫描任务。
任务管理:支持扫描任务全生命周期追踪、POC 插件按需自由组合与多维资产拓扑过滤。
系统设置:集成 Fofa/天眼查 API 热配置、字典云端热更新、扫描并发调度微调,以及五大告警通道(钉钉/飞书/企微/邮件/Webhook)一键测试。
#
0x03 更新介绍
基于 Vue 3.5 + Vite 5.4 + Ant Design Vue 4.2 重构
0x04 使用介绍
📦安装与使用指南
开发环境部署:前端本地 + Docker 后端源码
适用:二次开发人员、安全研究者。优势:后端服务全栈容器化,通过代码卷(./:/code)实现源码即时热更;前端本地独立运行并反代请求,解耦彻底。
前置条件:安装 Docker Desktop、Node.js,并配置 pnpm:
npm install -g pnpm
🚀 启动步骤
# 1. 克隆并进入项目目录git clone https://github.com/owl234/ARL-Next && cd ARL-Next# 2. 运行一键开发脚本(自动拉起后端容器、安装前端依赖并启动 Vite)bash start-dev.sh
启动后,浏览器访问 http://localhost:5173 即可开始开发。
💡 核心开发细节:
- 双端热更新:后端 Docker 挂载本地代码即时生效,前端由 Vite 极速热重载。
- 默认凭据:系统管理员账号密码为:
admin/arlpass。- API 代理:后端接口暴露于宿主机
5001端口,前端代理已预设反代至此端口。- 本地 HTTPS:若有安全限制,可将
mkcert生成的localhost.pem与localhost-key.pem放入根目录certs/下,服务将自动以https://localhost:5173启动。
🛠️ 常用开发命令
# 查看开发容器状态docker compose -f docker-compose.dev.yml ps# 实时查看 API 与 Worker 容器日志docker compose -f docker-compose.dev.yml logs -f arl-web arl-worker# 停止开发环境(保留数据卷)docker compose -f docker-compose.dev.yml down
生产环境部署方案:公网极简 HTTPS 部署
适用:公网生产部署、单机轻量化运行。优势:
- 强安全边界:公网仅暴露前端 5173 端口。API 后端、MongoDB、RabbitMQ 等敏感服务端口全部对外关闭,实现网络隐形。
- 零配置 SSL:前端 Nginx 容器直接挂载宿主机证书,原生提供高并发的公网 HTTPS/SSL 安全防护。
- 内核态转发:各容器处于 Docker 网桥
arl-net隔离区。脚本自动关闭宿主机userland-proxy代理,容器间通信绕过用户态直接由 Linux 内核转发,网络性能近乎原生。
🚀 部署步骤
# 1. 克隆项目并创建证书目录git clone https://github.com/owl234/ARL-Next && cd ARL-Nextmkdir -p ssl-certs# 2. 准备您的 SSL 证书(将证书与私钥命名并放入下方路径)# 证书位置:./ssl-certs/arl.crt# 私钥位置:./ssl-certs/arl.key# 3. 运行一键构建与性能调优脚本(自动补全 Docker/Compose 依赖、调优系统配置并拉起容器)sudo bash start-prod.sh
部署完成后,直接通过浏览器访问 https://your-server-ip:5173 即可登录使用。
💡 快速获取免费公网 SSL 证书 (Let’s Encrypt)
sudo apt update && sudo apt install -y certbot sudo certbot certonly --standalone -d yourdomain.com cp /etc/letsencrypt/live/yourdomain.com/fullchain.pem ./ssl-certs/arl.crt cp /etc/letsencrypt/live/yourdomain.com/privkey.pem ./ssl-certs/arl.key⚙️ HTTPS 与反代微调: 默认自动完成 HTTPS 及对后端
arl-web服务的反向代理。如有特殊路由或证书更改需求,请直接编辑 Nginx 配置文件 frontend/default.conf.prod,修改后执行sudo bash start-prod.sh重新构建生效。
常用生产管理命令
# 查看生产环境所有容器状态docker compose -f docker-compose.prod.yml ps# 实时查看生产环境 Web 和 Worker 容器的运行日志(基于服务名)docker compose -f docker-compose.prod.yml logs -f arl-web arl-worker# 停止生产环境容器(数据会持久化在 volume 中,不会丢失)docker compose -f docker-compose.prod.yml down
🗄️ 数据库直连指引 (可选)
开发期间如需直连数据库查看数据,可使用以下参数(如果是通过 Docker 启动,需确保暴露了相应端口):
MongoDB 核心数据库
- Host:
127.0.0.1 - Port:
27018 - 认证库 (authSource):
admin(存储账号凭据的安全验证库) - 认证账号/密码:
admin/admin - 业务数据存储库:
arl(直连后实际操作该库获取资产数据) - 直连 URI:
mongodb://admin:[email protected]:27018/arl?authSource=admin
RabbitMQ 消息队列
- Host:
127.0.0.1 - Port:
5673 - 认证:
admin/admin
#
0x05 内部VIP星球介绍-V1.5(福利)
如果你想学习更多渗透测试技术/应急溯源/免杀工具/挖洞SRC赚取漏洞赏金/红队打点等欢迎加入我们内部星球可获得内部工具字典和享受内部资源和内部交流群,每天更新1day/0day漏洞刷分上分(2026POC更新至10922+),包含全网一些付费扫描工具及内部原创的Burp自动化漏洞探测插件/漏扫工具等,AI代审工具,最新挖洞技巧等。shadon/Hunter/0zone/Zoomeye/Quake/Fofa高级会员/AI账号/CTFShow等各种账号会员共享。详情点击下方链接了解,觉得价格高的师傅后台回复” 星球 “有优惠券名额有限先到先得❗️啥都有❗️全网资源最新最丰富❗️**(🤙截止目前已有2900+多位师傅选择加入❗️早加入早享受)
最新漏洞情报分享:https://t.zsxq.com/DSAvv
👉点击了解加入–>>内部VIP知识星球福利介绍V1.5版本-1day/0day漏洞库及内部资源更新
结尾
免责声明
获取方法
公众号回复20260708获取下载、回复 加群 获取交流群
最后必看-免责声明
文章中的案例或工具仅面向合法授权的企业安全建设行为,如您需要测试内容的可用性,请自行搭建靶机环境,勿用于非法行为。如用于其他用途,由使用者承担全部法律及连带责任,与作者和本公众号无关。本项目所有收录的poc均为漏洞的理论判断,不存在漏洞利用过程,不会对目标发起真实攻击和漏洞利用。文中所涉及的技术、思路和工具仅供以安全为目的的学习交流使用。如您在使用本工具或阅读文章的过程中存在任何非法行为,您需自行承担相应后果,我们将不承担任何法律及连带责任。本工具或文章或来源于网络,若有侵权请联系作者删除,请在24小时内删除,请勿用于商业行为,自行查验是否具有后门,切勿相信软件内的广告!
往期推荐
1.内部VIP知识星球福利介绍V1.5(AI自动化)
2.CS4.8-CobaltStrike4.8汉化+插件版
3.全新升级BurpSuite2026.4专业(稳定版)
4.最新xray1.9.11高级版下载Windows/Linux
5.最新HCL AppScan Standard
渗透安全HackTwo
微信号:关注公众号获取
后台回复星球加入:知识星球
扫码关注 了解更多
上一篇文章:Nacos配置文件攻防思路总结|揭秘Nacos被低估的攻击面
免责声明:
本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。
任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。
本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我。
本文转载自:渗透安全HackTwo owl234 owl234《全新ARL资产灯塔系统(重构版),多维闭环侦察体系,覆盖边界探测、指纹识别、漏洞检测全链路场景》
版权声明
本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。











评论