crawlergo.exe结合X-ray实现自动扫描

最新推荐文章于 2024-06-18 13:45:00 发布
最新推荐文章于 2024-06-18 13:45:00 发布
阅读量1.2k 收藏 5
点赞数 2
分类专栏: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Blue_Starry_sky/article/details/113011579
版权

一般来说,使用X-ray扫描web漏洞就那几种方式,但是都需要人主动点击触发扫描这个过程,个人感觉不方便,最近发现github有人使用crawlergo.exe结合X-ray使用爬虫可以完全自动化扫描,可将扫描放到服务器上,然后等着收割漏洞。(附地址:https://github.com/timwhitez/crawlergo_x_XRAY)

但是下载后发现除了说明中提到的权限不足拒绝访问的问题,如下图:

出现拒绝访问的问题,按照说明文档的指引,删除crawlergo文件夹即可,但是还会出现系统找不到指定文件的错误,如下图:

经过排查,发现是说明文档中提到遇到报错时将64位的crawlergo.exe和launcher.py还有targets.txt放在一个目录下,其中crawlergo.exe该文件不存在于下载后的压缩包中,后又从github上下载crawlergo.exe文件放入同一目录中(附地址:https://github.com/0Kee-Team/crawlergo/releases)。

按照文档中的要求,在launcher.py修改chrome的路径为本机的路径,windows系统一般路径均为"C:\Program Files (x86)\Google\Chrome\Application\chrome.exe",不用修改,如果有不一样的需要修改为正确路径。配置文件正常情况下如下图:

发现在部分情况下仍会出现无法正常使用的情况,可以将配置文件更改为如下内容:

主要是圈红的位置进行了修改,正确配置后,扫描器内文件如下图:

将需要的各种库安装完毕后,使用py3启动即可,正常启动并扫描后的结果如下:

出现上图界面,就可以去泡杯咖啡,静待扫描结束,收割漏洞了。

 

Blue_Starry_sky
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
xray 被动_漏洞扫描“全覆盖”法则 | 被动扫描如何在资产发现中发挥作用?
weixin_42363565的博客
01-10 1035
Web资产管理与安全评估是安全管理人员日常工作中不可忽略的组成部分,企业安全审计人员以及在产品上线前进行安全性测试的研发人员,通常会选择使用漏洞扫描器作为安全分析工具。在实际使用过程中,随着企业业务快速扩张,单纯以主动扫描为主的漏洞扫描方式并不能满足企业Web资产安全评估的需求:一方面主动扫描的测试数据源全部来自爬虫,较难获取独立页面、API接口等;另一方面,由于爬虫爬取信息需要时间,单纯通过爬虫...
x-ray社区简单使用教程
麻辣小龙虾
11-09 7134
下载地址 https://github.com/chaitin/xray 注意:xray 不开源,直接下载构建的二进制文件即可 证书生成 ./xray_windows_amd64 genca 使用方法 1,使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描(xray 的基础爬虫不能处理 js 渲染的页面) ./xray_windows_amd64 webscan --basic-crawler http://example.com --html-output test.html 2,使用 HTTP 代理进行被动
被动式扫描 x-ray——简单介绍
W小哥
11-17 2239
一、下载地址 https://github.com/chaitin/xray/releases 二、工具简单介绍 在首页有使用文档,可以查看 所有的检测POC集成在xray的pocs目录中,相当于把网上的一下公开的漏洞信息整理到这个库中去了 三、简单使用示例 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 本示例使用的是windows本的,windows本的直接是一个exe文件 需要进入cmd界面,输入命令 xray_windows_amd64 webscan --basic-crawler UR
【每天学会一个渗透测试工具】Xray安装及使用指南
最新发布
weixin_54750312的博客
06-18 1044
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
工具Xray的安装,入门的使用方法
分享Python知识
03-30 1万+
工具Xray的安装,入门的使用方法
xray 被动_社区xray与rad深度融合(媲美高级)
weixin_42463165的博客
01-10 5666
几天前xray社区发布了全新爬虫rad,全名 Radium. 自此Xray宇宙又添一员大将。01一直以来社区工具“ xray 扫描器”广受好评。唯一遗憾的是作为被动扫描器,主动扫描受限于基础爬虫较弱。无法发挥xray扫描器强大的被动扫描实力。于是派生出了xraycrawlergo联动等流派,直到rad的出现。xray寻得良配Rad爬虫和高级xray的深度融合一键使用把我馋的够呛但是我...
28.18650电池X-Ray检测机.zip
04-30
X-Ray检测机通常配备先进的图像处理和分析软件,能对检测到的图像进行实时分析和自动判别,大大提高了检测效率和准确性。此外,随着技术的发展,X-Ray检测机的分辨率不断提高,能发现更细微的缺陷,满足更高精度的...
2022.11.28 19300 X-RAY图片.rar
11-28
很抱歉,根据您提供的信息,"2022.11.28 19300 X-RAY图片.rar"这个压缩包的标题和描述并没有提供任何具体的知识点,它们仅仅是一个日期、一个数字序列以及提及了X-RAY图片。而标签为空,无法提供额外的上下文信息。...
安卓studio最新 android-studio-2021.3.1.16-windows.exe
09-19
安卓studio最新 android-studio-2021.3.1.16-windows.exe
Elements of Modern X-ray Physics.pdf
12-21
Elements of Modern X-ray Physics第二彩色 X-ray与物质相互作用,X-ray成像的物理机制原理
Griefing.Ru-Emerald-X-Ray-Pack-17X_Will_GPS_源码
10-04
【标题】"Griefing.Ru-Emerald-X-Ray-Pack-17X_Will_GPS_源码" 提供的是一个游戏模组包,主要用于 Minecraft 游戏。此模组名为 "Emerald X-Ray Pack",本号为 17X,并且与 "Will GPS" 功能相关。"Griefing.Ru" ...
crawlergo_x_XRAY:3600Kee-Teamcrawlergo动态爬虫结合长亭XRAY扫描器的被动扫描功能
05-03
crawlergo_x_XRAY 360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理) 20201130更新,launcher_new.py增加随机http请求头,避免被扫描器识别。 注:需在pip安装 fake_useragent 库 pip install fake_useragent 20190115更新,launcher_new.py使用crawlergo提供的方法推送请求给xray crawlergo默认推送方法有个不足就是无法与爬虫过程异步进行。使用launcher.py可以异步节省时间。 注:若运行出现权限不足,请删除crawlergo空文件夹。 如遇到报错注意将64位的crawlergo.exe和launcher.py还有targets.txt放在一个目录,将crawlergo目录删除 20190113
crawler:一个用go编写的简单网络爬虫
06-06
Crawl 是一个用 go 编写的简单的网络爬虫。 crawler --help Usage of ./crawler: -assets=false: show page assets in sitemap output -concurrency=10: number of concurrent requests -insecure=false: ignore invalid site certificates -links=false: show page links in sitemap output -url="https://example.com": url to crawl crawler -links=true -assets=true -concurrency=20 -url=http://example.com / . /stylesheets
crawlergo_x_XRAYcrawlergo动态爬虫+长亭XRAY扫描器的被动扫描
01-20
360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理),实现躺着挖洞美梦
crawlergo:用于网络漏洞扫描器的强大浏览器爬虫
07-24
crawlergo A powerful browser crawler for web vulnerability scanners crawlergo是一个使用chrome headless模式进行URL入口收集的浏览器爬虫。 使用Golang语言开发,基于 进行一些定制化开发后操纵CDP协议,对整个页面关键点进行HOOK,灵活表单填充提交,完整的事件触发,尽可能的收集网站暴露出的入口。同时,依靠智能URL去重模块,在过滤掉了大多数伪静态URL之后,仍然确保不遗漏关键入口链接,大幅减少重复任务。 crawlergo 目前支持以下特性: 原生浏览器环境,协程池调度任务 表单智能填充、自动化提交 完整DOM事件收集,自动化触发 智能URL去重,去掉大部分的重复请求 全面分析收集,包括javascript文件内容、页面注释、robots.txt文件和常见路径Fuzz 支持Host绑定,自动
Xray-web漏洞扫描工具.zip
02-02
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级,key: struts) Thinkphp系列漏洞检测 (高级,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级,key: struts) Thinkphp系列漏洞检测 (高级,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
XRay安装使用以及Burp联动
热门推荐
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当Burp与XRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
x-ray之第二篇-基础爬虫模式进行扫描
千寻的博客
03-29 1793
基础爬虫模式进行扫描 爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是, 爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意 启动爬虫 ./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ ./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-cra
crawlergo联动xray漏洞挖掘
qq_56426046的博客
01-07 3165
网络空间测绘平台:fofa、奇安信网络空间测绘Hunter、360网络空间测绘Quake(需要有会员);API脚本;企查查、爱企查(需要有会员)。xray:一款由是从长亭洞鉴核心引擎中提取出的社区漏洞扫描神器;360-crawlergo:有360安全团队开发一个使用chrome headless模式进行URL入口收集的动态爬虫工具。xray和360-crawlergo联动脚本。
请用python语言编写如下片段:Download the data drx-sample1.xy, drx-sample2.xy, drx-sample3.xy,drx-sample4.xy and drx-sample5.xy and place them on your current python working directory.Read these data with your favorite text editor.Then,Open the first file and push data in numpy.array for plotting X-ray diffraction diagram.ou should obtain something like.
05-31
# Open the first file and push data into a numpy array for plotting the X-ray diffraction diagram data = np.loadtxt('drx-sample1.xy') x = data[:, 0] y = data[:, 1] # Plot the X-ray diffraction ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值