实训第三天

已于 2024-08-29 20:27:13 修改
阅读量648 收藏 14
点赞数 22
文章标签: 网络安全
于 2024-08-29 10:25:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75543195/article/details/141666950
版权

1.简要介绍

xray 是一款功能强大的安全评估工具,其特性为:

  • 检测速度快。发包速度快; 漏洞检测算法效率高。
  • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
  • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
  • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以客制化功能。
  • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

1.下载

2.安全证书

下载后能发现文件夹中有安全证书文件

点击查看证书

选择安装证书,选择本地计算机(当前用户证书只针对当前用户有效,本地计算机是对计算机上的所有用户)

点击下一步

然后如图选择,点击下一步

接下来在火狐设置中导入该证书

2.开始扫描

1.主动扫描

查看生成的文件

2.被动扫描

需要在火狐浏览器代理设置浏览器 http 代理为 http://127.0.0.1:8989,就可以自动分析代理流量并扫描,这里浏览器代理端口设置为多少是看你xray监听的是多少。

 3.安装goby,实现对皮卡丘靶场的扫描

无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作

4.BP联动xray

1.配置burp环境

在bp的proxy模块中点击proxy settings打开,在搜索框中搜索upstream,找到upstream proxy servers,点击add添加上游代理,配置如下

2.使用xray和burp开始扫描

在xray上可以看到本人正在使用的京东网页

同时,在burp也扫描到了京东网页

3.联动扫描的原理

1. 流量拦截与转发:
   - 当使用 X-ray 对目标网站进行扫描时,可以配置 X-ray 将所有发出的请求先发送到 Burp Suite 中去。
   - 这意味着 X-ray 发送的所有 HTTP 请求都会被 Burp Suite 拦截,这样就可以在 Burp Suite 中查看、修改甚至重放这些请求。

2. Burp Suite 中的代理功能:
   - Burp Suite 包含了一个名为“Proxy”的模块,它充当一个中间人代理,可以用来拦截、查看和修改浏览器或任何其他客户端与目标服务器之间的通信。
   - 在 Burp Suite 的 Proxy 中,可以设置监听端口(通常是8080),并确保 X-ray 配置使用这个端口作为其HTTP/HTTPS代理。

3. 配置 X-ray 使用 Burp Suite 作为代理:
   - 在 X-ray 的设置中,需要指定 Burp Suite 的IP地址和端口号作为代理服务器。通常情况下,如果你的 Burp Suite 和 X-ray 都运行在同一台机器上,那么 IP 地址应该是 `127.0.0.1` ,端口号默认为8080。
   - 配置完成后,X-ray 所有的网络请求都会被路由到 Burp Suite,然后由 Burp Suite 决定是否将请求转发给目标服务器。

2201_75543195
关注
Xray扫描器与BrupSuite联动
认真走好每一小步
07-25 1666
一款很顶的扫描器
xray安装与bp组合使用-被动扫描
weixin_42786460的博客
10-14 763
xray安装与bp组合使用-被动扫描
xray与burp联动 挖掘
m0_65247093的博客
05-10 2721
目录 0x0Axray基本介绍与使用 0x0a xray官网 0x0b安装配置 0x0cxray(社区版)的基本使用 0x01主动扫描(切记授权) 0x02 被动扫描 0x0d xray红队版 0x01子域名搜集 0x02 专项扫描 等等... 0x0B burp与xray联动 0X01抓取https流量 0x02 burp为xray的上游: 0x03 burp为xray的下游:(安装jar插件) 总结 ;如上不管是burp作为xray的前后端 效果都不是太好(推荐有...
主动扫描和被动扫描的区别
baidu_38844729的博客
10-14 9450
web漏洞扫描器 web漏扫的工作大致可以分为三个阶段:页面爬取——探测点发现——漏洞检测 主要有主动扫描器和被动扫描器两种 主动扫描: 输入某个URL,然后由扫描器中的爬虫模块爬取所有链接,对GET、POST等请求进行参数变形和污染,进行重放测试,然后依据返回信息中的状态码、数据大小、数据内容关键字等去判断该请求是否含有相应的漏洞 被动扫描: 在进行手动测试的过程中,代理将流量转发给漏洞扫描器,然后再进行漏洞检测 区别: 被动扫描不进行大规模的爬虫爬取行为,不主动爬取站点链接,而是通过流量、代理等方式去采
扫描工具xary
m0_73481504的博客
05-13 475
目的是可以从bp清晰的看到访问的流量包,发到xray后会这些流量包进行扫描,鼠标点击目标哪个功能就会进行功能点的扫描。浏览器将流量传给bp8080端口,再从bp传给xray7777端口,最后到服务器。设置完成后就可以点网页上的功能点,就可以出根据功能点扫描出结果。选择对应的漏洞有详细的数据分析并回到目标网站进行验证。需要xray证书先去目录下删除原证书。退出后自动生成出结果。
实训第三天工作日志
trqqwx的博客
06-19 1016
今天是实训第三天的第一节课,我完成了学生数据访问接口实现类和测试学生数据访问接口实现类的编写
实训6-BIOS设置实训报告.doc
12-12
实训6-BIOS设置实训报告主要关注如何操作BIOS来调整计算机的基本设置,这对于微机系统与维护至关重要。 在实训过程中,学生需要熟悉BIOS设置方法,掌握常见选项的调整,以及理解各选项的含义。以下是对实训内容的...
财务会计同步模拟实训练习(第二版_高丽萍)答案打包.zip
06-16
3. 实训三:可能涉及到成本计算和成本分析。用户将学习如何分类成本,如固定成本、变动成本、混合成本,以及如何进行产品成本计算,如直接材料、直接人工和制造费用的分配。 4. 实训四:可能涉及财务报表的编制,...
第七章组合逻辑电路丶技能实训 制作三人表决器.ms14
11-11
职业学校电子技术基础组合逻辑电路,课后实训指导题目,两个或两个以上同意,即为通过 ,作为教师和学生模拟仿真用具,希望同仁喜欢。
Python数据分析与应用第三章实训1
04-22
在本实践项目“Python数据分析与应用第三章实训1”中,我们将深入探讨Python在数据处理和分析中的应用。黄红梅和张良均所著的《python数据分析与应用》是一本广泛使用的教材,旨在帮助读者掌握Python在数据分析领域...
xray bp联动
weixin_53316511的博客
06-09 3295
BPxray联动 打开BP找到User options 然后看到Upstream Proxy Servers Add添加 端口可以不用填7777(和xray监听端口对应) 第一行可以选着不填 设置完成后 打开xray和浏览器(浏览器需要开BP代理,BP代理常规设置即可,不用修改)看一下效果 流量就会经过BP 然后xray帮我们扫描 这样岂不美哉 ...
Xray和Burp联动
xiaoheizi的博客
06-12 7364
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
xray的安装方式与联动burp
Dagger_S的博客
08-25 2180
xray的shell与图形化两种安装方式包括链接与其简单的使用方法
X-ray扫描器与BurpSuite联动
2301_79441074的博客
12-06 235
bp,xary配置下游代理
实习实训day3
最新发布
ZXY10298的博客
08-29 873
1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作3.加分项:实现xray和burpsuite联动扫描4.加分项:说明两者联动扫描流量代理后流量走向,即上层代理服务器的工作原理。
burp使用教程(四)之xray联动burpsuit
qq_64775230的博客
08-24 322
联动的方法是利用xray扫描burpsuit抓取的流量包。第二步:在burpsuit设置中转结果。第一步:在xray上启动一个端口。第三步:开启浏览器代理。
xray和burp联动
xhscxj的博客
10-25 3383
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
信安毕业实习-Day 3
qazwsxwyf的博客
08-28 766
Xray是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者打造而成,主要用于Web应用程序的自动化漏洞检测。这个介绍划划水啦~~~~Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。-------按老师话来说就是基本不怎么用。手动狗头,就是不常用而已,别无他意。
Xray+burp联动使用(被动扫描)
热门推荐
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
spark第三章实训
06-28
Spark 第三章通常涉及大数据处理和分布式计算的内容。Spark是一个开源的分布式计算框架,用于大规模数据处理和机器学习任务。在实训中,你可能会学习到以下几个关键部分: 1. Spark 架构:理解Spark的Master-Worker模型,包括Driver和Executor的角色,以及如何通过RDD(弹性分布式数据集)进行数据操作。 2. DataFrame和Dataset:Spark提供了DataFrame和Dataset这两种更高级别的抽象,用于处理结构化数据,它们基于列而不是行,提供SQL查询接口。 3. SQL查询和Spark SQL:学习如何使用Spark SQL进行数据查询,包括DataFrame的创建、过滤、聚合等操作。 4. 分布式计算:学习如何利用Spark的并行性和内存管理优化性能,如广播变量、缓存和分区。 5. 存储接口:了解Spark支持的不同存储选项,如HDFS(Hadoop分布式文件系统)、Cassandra、HBase等,并如何进行数据读写。 6. 作业调度:熟悉Spark的Job和Stage概念,以及任务调度策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值