Xray和AWVS联动实现主动扫描

最新推荐文章于 2024-06-05 16:02:59 发布
最新推荐文章于 2024-06-05 16:02:59 发布
阅读量3.8k 收藏 12
点赞数 1
分类专栏: 网络安全 文章标签: 测试工具 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/I_like_ctrl/article/details/126435285
版权

前面讲到了 BS 联动 Xray 实现方便的查找改动.指路Xray和BS联动扫描


如果我想利用社区版 Xray 进行爬虫爆破子域名或者各种文件后缀,不好意思,这些功能得付费才能使用


但是我们又知道 AWVS 的爬虫功能又很厉害,那么我们能不能将二者结合起来呢?


所以,我们还得利用代理,将 WEB 界面从 AWVS 过一遍, 再从 Xray 过一遍

使用的软件:

  1. AWVS13
  2. Xray
  3. Windows Terminal

操作步骤

  1. 为 Xray 配置监听端口

如果不知道 Xray 是怎么使用,可以看我上一篇文章,点击这里这里可以跳转哟

  1. 打开 AWVS ,这里是用的开心版,具体怎么下载安装,可以去搜一下,这里就不详细说明了

默认进入网站是 127.0.0.1:3443 ,前提是你没有修改端口

  1. 有请我们的老朋友 PikaChu 和 小皮助手

  1. 为 AWVS 部署要搜索的网站

添加要检测的网站


IP和端口 由你怎么部署网站而定

点击右上角的 SAVE

  1. 为 AWVS 设置代理

上一步点击代理后,就会跳到另一个界面

划到底部就会看见 HTTP

点击 Proxy Server 就会展开

里面的 IP 和端口号是根据你在 Xray 设置的监听 IP 和端口设置的

先点击 SAVE

然后点击 Scan

如果没有特殊要求点击 Create Scan 即可

如果成功会出现下面箭头的内容

与此同时, Xray 也监听到内容开始扫描

只需耐心等待即可,结束后 Xray 会有 HTML 报告, AWVS 会有网页报告

AWVS 完成应该如下图,出现 completed

这里要提醒一点, AWVS 结束, Xray 不一定结束

我本人猜测 Xray 负责记录AWVS浏览过的界面,不对经过的流量逐个检测,而是对记录下来的进行逐个检测,这样便不会影响到 AWVS 的进度

真不想起名TAT
关注
  • 1
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
AVWS+Xray联动(详细版)
xj28555的博客
04-30 4145
正文 awvs的爬虫很厉害,xray扫描能力更强,而且xray的社区版不能爆破子域名。awvs+xray联动就互相取长补短了。 首先安装AWVS(这里用的是AWVS13破解版,软件在文末),具体破解版安装,压缩包里面有文档,这里就不再详细叙述了。安装好界面如下。 安装好后我们就在Xray(社区版,软件在文末)开启监听。 python xray.exe webscan --listen 127.0.0.1:8888 --html-output 456.html 然后...
Day101:漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
qq_61553520的博客
04-14 1128
小迪安全-Day101:漏洞发现-漏扫项目篇&Nuclei&Yakit&Goby&Afrog&Xray&Awvs&联动中转被动
AWVS+BP+XRAY三层联动扫描漏洞
最新发布
LfanBQX的博客
06-05 446
本报告详细记录了使用AWVS(Acunetix Web Vulnerability Scanner)、Burp Suite和Xray进行的漏洞扫描结果。旨在帮助开发团队识别和修复系统中的安全漏洞,提升整体安全性。AWVS(Acunetix Web Vulnerability Scanner):专业的Web应用漏洞扫描工具,能够识别包括SQL注入、XSS在内的多种Web漏洞。Burp Suite:广泛使用的Web应用安全测试工具,集成了拦截代理、扫描器、渗透测试工具等功能。
Xray+awvs联动扫描
wutiangui的博客
11-02 548
设置完后点全部扫描xray那边就可以开始接收awvs的爬虫结果进行扫描了。然后准备目标csv文件,每行一个url或ip然后加个逗号。对导进来的每个目标点进去设置代理。接着awvs导入csv。首先xray开启监听。
漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动
xiaoheizi的博客
07-27 1606
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。点击保存(save)
Xray扫描
weixin_55129870的博客
07-04 3725
双击xray会生成config.yaml配置文件,对配置文件进行配置在33行添加cookie 在此处输入pikachu登入的cookie 修改153行,添加如下内容,出去登入难度修改等页面,删除括号 主动扫描主动扫描xray 通过爬虫模拟用户点击操作进行扫描 被动扫描实现radium爬行+xray扫描radium下载地址:Releases · chaitin/rad · GitHubhttps://github.com/chaitin/rad/releasesxray开启代理监听
Xray配合awvs漏洞扫描
weixin_50464560的博客
07-28 1872
转载:https://cloud.tencent.com/developer/article/1680559 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,
Burpsuite+xray+AWVS联动 -- 小黑驿站超细教程
G_WEB_Xie的博客
03-30 902
渗透测试少不了的是利用工具,但是很少人去考量工具间的联动用法,上次更新了app小程序测试联动burpsuite,这次就讲一下一些渗透过程中的常用工具的联动使用吧。
rad-xray:xray+rad批量主动扫描
05-03
rad-xrayxray+rad批量主动扫描Usage:社区版用户url一行一个放url.txt中,和rad放同文件夹xray开启监听,./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html运行pypython3 rad+xray.py...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
awvs13_batch_py3:针对AWVS扫描器开发的批量扫描脚本,支持联动xray,burp,w13scan等被动批量
03-20
通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,限制为仅包含地址和子目录 支持对扫描器内已有目标进行批量扫描,支持自定义扫描类型 使用教程 1...
Python对接 xray 和微信实现自动告警
09-18
xray是一款由长亭科技推出的社区版漏洞扫描工具,它源自其核心引擎“洞鉴”,具备主动和被动扫描两种模式,支持自定义POC(Proof of Concept),具有强大的功能,如内置的盲打平台。xray适用于Windows、macOS和Linux...
awvsxray、burp安装使用手册集合.doc
04-27
1. **AWVSXray联动**:在AWVS中设置Xray作为代理,利用Xray的爬虫能力增强AWVS扫描范围。 2. **Postman与Xray**:在Postman中设置Xray代理,进行接口测试时,Xray可以捕获和分析请求,帮助识别安全问题。 这些...
Xray与burpsuite、AWVS联动
向阳-Y.的博客
03-13 2097
Xray与burpsuite联动 1.在burpsuite依次选择User options—>Upstream Proxy Servers—>Add然后选择OK. *号表示所有主机 proxy host和proxy port为本机地址和本机端口 2.勾选启用上这一行 3.运行xray,就联动成功啦 xray_windows_amd64.exe webscan --listen 127.0.0.1:6666 --html-output 1.html XrayAWVS联动 1.添加一个
awvsxray联动
温和的跳跃
08-21 2186
linux 上 docker 安装 awvs sudo docker search awvs14 sudo docker pull secfa/docker-awvs sudo docker run -d -p 3443:3443 --name awvs14 secfa/docker-awvs 然后本地 127.0.0.1:3443 就可以看到 awvs了,登陆 默认账号是admin@admin.com 默认密码是 Admin123 xray 直接Github 下载 下载好以后解压 先运行.
第七十九天 WAF攻防-漏洞发现&协议&代理池&Goby&AWVS&Xray
qq_46343633的博客
03-08 556
1、Http/s&Sock5协议2、Awvs Xray&Goby代理3、Pxoxifier进程代理使用4、Safedog&BT&Aliyun防护。
白帽子挖洞第IV篇作业--谈谈xrayawvs联动笔记
qq_29437513的博客
11-05 889
xray在2021年11月更新到了1.8,由于之前的1.7已经被crack,这里环境就用1.7 一:xray的相关命令 xray的核心命令 01代理被动扫描(重点) xray.exe webscan --listen 127.0.0.1:7777 --html-output xx.html 02.爬虫扫描(不建议) xray.exe --basic-crawler http://example.com 03.指定插件扫描 –plugins xss,cmd_injection 加载本地 /xxx/ 目录所
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4380
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
xray与dirsearch、burpsuite、awvs之间的联动扫描
Aevery的博客
03-03 7106
1、xray与dirsearch 让dirsearch充当爬虫的角色,xray对其传入的流量进行扫描 a、首先访问我们的测试网站正常 b、启动xray,在浏览器中设置好代理,xray主动扫描所点击的网页 xray_windows_amd64.exe webscan --listen 10.30.20.68:7777 --html-output 2022.html c、因为我的dirsearch运行在kali上,所以代理中使用的IP为本机的IP地址 python3 dirsearch.py
AWVSxray和burpsuite怎么联动扫描
09-23
AWVSxray和Burp Suite可以通过设置代理来进行联动扫描。下面是它们的具体配置步骤: 1. 首先,需要启动xray并设置其监听地址和端口。例如,可以在命令行中运行以下命令: ``` xray_windows_amd64.exe webscan --listen 10.30.20.68:7777 --html-output 2022.html ``` 2. 接下来,在Burp Suite的用户设置中,配置上游代理设置为xray所监听的地址(10.30.20.68:7777)。 3. 在浏览器中设置代理,确保与Burp Suite的设置保持一致。 4. 然后,启动AWVS并添加扫描目标。保存后,在Proxy Server选项中设置与xray一样的IP地址和端口(10.30.20.68:7777)。 5. 最后,选择仅扫描模式,AWVS将不进行漏洞扫描,而是将流量传递给xray进行漏洞扫描。 通过以上配置,AWVSxray和Burp Suite就可以实现联动扫描
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值