strix-tool/strix-vantage
GitHub: strix-tool/strix-vantage
Strix Vantage 是一款运行在 Kali Linux 上的自动化侦察编排工具,通过一条命令串联子域名枚举到漏洞扫描的完整流程,并以 WAF 友好的方式输出格式化报告。
Stars: 0 | Forks: 0
# Strix Vantage
[](LICENSE)
[-blue.svg)](#install)
[](#-仅限授权使用)

开源 **[Strix Advanced Tools](https://github.com/strix-tool)** 套件的一部分。
## ⚠️ 仅限授权使用
Vantage 发送 **主动** 流量(端口扫描、模糊测试、漏洞探测,可选
DAST)。**仅** 在您拥有或获得**明确书面授权**
进行测试的系统上运行它 —— 例如您自己的本地 Juice Shop 容器或您控制的实验室。未经授权
的扫描在大多数司法管辖区都是违法的。**您需对自己的使用方式负责。**
## 它的功能
给它一个域名/URL,它会按以下顺序运行:子域名枚举 → 存活探测 → 针对主机的
扫描(端口/TLS/WAF/抓取/模糊测试/漏洞检查) → 格式化报告。**主动** 扫描
集仅在主(输入的)目标上运行;其他存活主机仅进行轻量级的 `whatweb`
指纹识别。它通过**减少工作量而不是加快请求速度**来提升效率 —— `--stealth`
会降低速率并增加抖动,保持对 IDS/WAF 友好。
```
# 本地 Juice Shop, WAF 安全的日常扫描
sudo python3 vantage.py localhost:3000 --profile stealth
# 仅发现,不进行主动漏洞扫描
sudo python3 vantage.py yourlab.local --profile recon
```
完整的 flag/profile 参考请见 [docs/ORIGINAL_README.md](docs/ORIGINAL_README.md)。
## 安装说明
专为 **Kali Linux** 构建(已预装 Python 3)。首次运行时,Vantage 可以
自动安装缺失的工具 —— 此功能目前需要**显式选择开启且会发出警告**(参见安全说明)。建议优先
从您发行版的签名包中自行安装工具:
```
sudo apt install -y golang-go nodejs npm # helpers for a few tools
git clone https://github.com/strix-tool/strix-vantage
cd strix-vantage
sudo python3 vantage.py --version # Vantage 2.2
```
可选的终端 UI:
```
pip install textual --break-system-packages
sudo python3 vantage_tui.py
```
## (工具自身的)安全性
Vantage 进行了安全强化,防止您自己的设备被用作跳板:
- **无 shell** —— 每个工具都通过参数列表 (`subprocess.run([...])`) 运行,因此精心构造的
目标无法注入命令。
- **显式选择开启的自动安装** —— 以 root 身份从互联网安装工具现在会输出
供应链警告,并且(在交互模式下)会要求确认;npm 将在运行时携带
`--ignore-scripts`;使用 `--no-install` 可完全跳过。
- **PATH 劫持防护** —— 以 root 身份运行时,会拒绝从 `PATH`
中执行用户可写的目录。
- **有界密钥扫描** —— 限制了抓取次数并使用无回溯的 email 正则表达式,因此恶意的
目标页面无法使运行挂起。
完整细节和威胁模型:[SECURITY.md](SECURITY.md)。
## 鸣谢
Vantage 是一个**编排器** —— 它不捆绑或修改任何扫描器;它只是将
每个扫描器作为您安装的独立程序来调用。非常感谢所有的上游项目。包含作者、链接和
许可证的完整列表:**[ACKNOWLEDGEMENTS.md](ACKNOWLEDGEMENTS.md)**。
## 许可证
[MIT](LICENSE) © 2026 Strix Advanced Tools. 集成的工具仍受其各自的
许可证约束。仅在您获得授权的情况下使用。
标签:GitHub, Python, 实时处理, 密码管理, 无后门, 逆向工具