基于灯塔ARL二开Golang+React的资产侦察与漏洞检测平台(2025-10-23)

原创已于 2025-12-03 15:17:42 修改 · 716 阅读

17 ·

CC 4.0 BY-SA版权

文章标签：

#web安全 #运维

于 2025-12-02 23:02:30 首次发布

安全知识专栏收录该内容

12 篇文章

订阅专栏

# 🛡️ 基于灯塔ARL二开

本项目参考了 adysec/ARL 的设计思路基于原版资产侦察系统深度重构的开源安全平台，采用 Go + React 技术栈，集资产发现、端口扫描、指纹识别、漏洞检测与资产监控于一体。系统重构核心扫描引擎，支持自适应速率与实时结果保存，无需依赖外部工具即可高效运行。面向安全研究人员与红队团队，提供更灵活的配置管理与更稳定的扫描体验，用于授权范围内的资产测绘与安全检测。

注意：现在只对常读和星标的公众号才展示大图推送，建议大家把#网络安全民工#"设为星标⭐️"否则可能就看不到了啦！

下载地址在末尾 #网络安全民工#

一、 📖 简介

一个现代化的安全扫描平台，基于五层架构设计，支持分布式扫描任务调度和漏洞管理。

二、🎯 技术栈

后端

Go 1.21 - 主要编程语言
Gin - Web 框架
MongoDB - 数据持久化
Redis - 缓存和会话管理
JWT - 身份认证

前端

React 18 - UI 框架
TypeScript - 类型安全
Vite - 构建工具
Shadcn/UI - 组件库
TailwindCSS - 样式框架
React Query - 服务端状态管理
Zustand - 客户端状态管理
Recharts - 数据可视化

· 资产发现

· 子域名爆破：基于字典的子域名发现

· 端口扫描：支持 TOP100/TOP1000/全端口扫描

· 站点识别：HTTP/HTTPS 服务探测

· 指纹识别：Web 应用指纹识别

三、🎯 功能介绍

资产发现

子域名爆破：基于字典的子域名发现

端口扫描：支持 TOP100/TOP1000/全端口扫描

站点识别：HTTP/HTTPS 服务探测

指纹识别：Web 应用指纹识别

四、🚀 快速开始

📦快速开始

部署方法一：源码编译并在宿主机运行（不使用 Docker）

环境要求

Go 1.21+
PostgreSQL      12+
Chrome/Chromium（用于站点截图）

部署步骤

1. 安装数据库

 Go 1.21+
PostgreSQL      12+
Chrome/Chromium（用于站点截图）

# 安装 PostgreSQL# 创建数据库createdb reconmaster

2. 配置系统

编辑 backend/configs/config.yaml：

database:
  host: localhost
  port: 5432
  user: your_db_user
  password: your_db_password
  dbname: reconmaster
server:
  port: 8080
redis:
  host: localhost
  port: 6379
  password: ""
  db: 0
scanner:
  max_concurrent_tasks: 5
  domain_brute_threads: 30
  port_scan_threads: 50

3. 初始化管理员

cd backend
go run cmd/init-admin/main.go

4. 端口扫描说明

无需安装任何扫描工具！ 🎉

端口发现: Naabu（纯Go实现，已集成）
服务识别: gonmap（纯Go实现，内置nmap指纹库，已集成）
自适应速率: 根据扫描规模自动调整（1000-10000 pps）

所有扫描功能已通过Go依赖集成，开箱即用。

5. 启动系统

cd backend
# 编译
go build -o bin/server ./cmd/server
# ⚠️ 重要：Naabu需要root权限进行SYN扫描（高性能模式）
sudo ./bin/server

说明：Naabu使用原始套接字（raw socket）进行SYN扫描，需要root权限。如果不想使用sudo，Naabu会自动降级为TCP Connect扫描（速度较慢）

6. 访问系统

浏览器打开：http://localhost:8080

使用初始化时设置的管理员账号登录。

生产部署

# 构建后端
cd backend
go build -o reconmaster ./cmd/server
# 运行
./reconmaster

# 构建后端cd backendgo build -o reconmaster ./cmd/server# 运行./reconmaster

注意：

前端已打包集成到后端，无需单独部署
确保 PostgreSQL 服务正常运行
首次运行会自动创建数据库表结构

部署方法二：Docker Compose 部署

进入项目根目录

cd Moon-Gazing-Tower   # 或你下载的目录

检查并编辑 backend/configs/config.yaml（如果你想在容器外通过挂载覆盖）

设置数据库、redis、server.port 等（或使用 docker-compose 中的默认环境）

注意：docker-compose 示例中 PostgreSQL 的库名/用户为 arl_vp3 / arl / arlpass（如需改动请保持一致或同步 config）

构建镜像并启动（带构建）

docker compose build
docker compose up -d

或（旧版 docker-compose 命令）

docker-compose build
docker-compose up -d

查看服务状态与日志

# 查看正在运行的容器
docker compose ps
# 查看后端日志（方便观察 init-admin 执行情况）
docker compose logs -f backend

初始化管理员（通常 init-admin 服务会自动运行一次并退出；若没有自动执行可手动运行）

 
# 在 backend 镜像内执行 init-admin（示例）
docker compose run --rm init-admin
# 或手动进入已经运行的 init-admin 容器查看日志
docker compose logs init-admin

访问 Web UI

根据你提供的 compose：后端端口 5003 暴露到宿主机，访问：
http://localhost:5003
（如果你把 server.port 改为 8080 或 docker-compose 的端口映射不同，请相应调整）

🤝获取方法

公众号回复 Moon-Gazing-Tower 获取下载

⚠️ 免责声明

本工具仅用于经授权的安全测试！

· ✅ 允许用于：企业授权的渗透测试、安全加固、合规检查

· ❌ 禁止用于：未授权的漏洞扫描、网络攻击、数据窃取

使用本工具造成的任何法律责任，均由使用者自行承担，与软件作者无关。

本账号主要是分享互联网上公开的一些漏洞poc和工具，利用本账号所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，本公众号及作者不为此承担任何责任，一旦造成后果请自行承担！如果账号分享导致的侵权行为请告知，我们会立即删除并道歉