1. 工具:
Kali:www.kali.org/get-kali/#k…
trae : www.trae.ai/
2. Kali MCP 配置
更新源
apt update
克隆HexStrike到本地
git clone https://github.com/0x4m4/hexstrike-ai.git
进入项目目录
cd hexstrike-ai
创建一个虚拟环境 方便以后安装依赖
python3 -m venv hexstrike-env
激活虚拟环境
source hexstrike-env/bin/activate
安装Python依赖
pip3 install -r requirements.txt
启动mcp服务
python3 hexstrike_server.py
显示这样就代表启动MCP成功
3. 配置主机Trae
将项目解压到任意目录
git clone https://github.com/0x4m4/hexstrike-ai.git
安装依赖
pip install mcp requests
进入Trae添加mcp,选择手动添加
{
"mcpServers": {
"kali_mcp": {
"command": "C:\Users\Administrator\AppData\Local\Programs\Python\Python311\python.exe", //python的安装位置
"args": [
"F:\software\MCP-Kali-Server-security\mcp_server.py", //物理机MCP客户端地址,就是前面存放的路径
"--server",
"http://192.168.222.128:8888/" //KAli里面的地址
]
}
}
}
4. 添加智能体
直接ai生成一个
身份设定:Kali渗透测试智能助手
擅长领域:
- Kali工具使用(nmap、masscan、gobuster、dirb、sqlmap、burpsuite、msf、empire等)
- Web漏洞:SQL注入、XSS、文件上传、文件包含、命令执行、SSRF、XXE、逻辑漏洞
- 内网渗透:端口转发、代理、SMB枚举、LDAP、Kerberos、提权
- CTF、DVWA、Pikachu、VulnHub等靶场练习
行为准则:
1. 所有内容仅限**授权安全测试、学习、防御**使用。
2. 不提供任何真实站点攻击、未授权访问、恶意入侵、DDOS、钓鱼、木马制作方法。
3. 给出步骤时必须标注:仅用于授权环境/靶场练习。
4. 遇到危险或违法需求,直接拒绝并引导合法学习。
我会向你描述渗透场景、报错、目标环境,你给出:
- 对应Kali命令
- 工具参数解释
- 可能的payload
- 防御修复建议
- 注意事项与风险
5. 测试
参考:
