xray被动扫描+burpsuite

最新推荐文章于 2024-06-07 22:35:08 发布
最新推荐文章于 2024-06-07 22:35:08 发布
阅读量1.6k 收藏 4
点赞数
分类专栏: Web安全 文章标签: xray 被动扫描 burpsuite
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cj_Allen/article/details/109301351
版权

前言:

通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多的缺点。
比如:直接扫描导致访问网站变慢、IP存在被防火墙BAN的可能。
那么今天带来的新姿势就是xray被动式扫描,在我们进行手动浏览器网页时,使用burp抓包,并且对浏览过的网页进行漏洞扫描。

流程如下:浏览器访问目标网址——》burp抓包——》xray检测burp所抓取的数据包。

第一步:打开burp,设置代理。


第二步:浏览器设置代理与burp进行联通。

在这里插入图片描述
此时通过浏览器访问网址后的数据包,都会被burp抓取到,那么如果我们只需要检测某一个web地址,该如何设置呢?
此时我们可以在burp里面设置,方法如下,添加我们需要抓取数据的web地址。
在这里插入图片描述
比如设置为:http://www.baidu.com
设置好了以后,此时我们通过代理好的浏览器访问www.baidu.com、burp就会抓取到数据包,而访问非www.baidu.com的地址,burp则不会抓取数据包。
在这里插入图片描述
第四步:此时我们只是达到了,通过浏览器访问目标地址后,burp能抓取的数据包的功能,但是burp和xray之间还未联通起来。
通过burp设置xray的上游代理,步骤如下。

在这里插入图片描述在这里插入图片描述
第五步:启动xray设置代理

xray.exe webscan --listen 127.0.0.1:7777

在这里插入图片描述
xray设置好代理以后,我们通过浏览器访问我们的目标地址——》burp抓取目标地址的数据包——》xray对burp抓包的数据包进行漏洞检测。

到此,xray+brupsuite的被动扫描就设置完成了。

Mrzheng77
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Xrayburpsuite联动被动扫描
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xrayburpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
【每天学会一个渗透测试工具】Xray安装及使用指南
最新发布
weixin_54750312的博客
06-18 1187
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
BurpSuite搭配Xray被动扫描
The current road is different, love needs to distinguish between right and wrong
02-05 3843
简介 Xray 社区版是长亭科技推出的免费白帽工具,有 xray 漏洞扫描器和 Radium 爬虫工具,是一种功能强大的扫描工具。根据系统选择对应版本,无依赖,无需安装,下载后直接使用。 --plugins 指定要运行的插件,用“,”分隔 --poc 指定要运行的 poc,用 ',' 分隔 --listen 使用代理资源收集器,值为代理地址,(例如:127.0.0.1:1111) --basic-crawler 使用基本爬虫爬取目标并扫描请求 --browser-
BurpSuiteXray联动进行被动扫描实战
永远是少年
01-01 1510
今天继续给大家介绍渗透测试相关知识,本文主要内容是BurpSuiteXray联动进行被动扫描实战。 一、xray简介与下载 二、BurpSuitexray联动简介 三、BurpSuitexray联动实战
xray联动burp实现被动扫描
久恙502的博客
10-09 162
xray联合burp实现被动扫描
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 2653
一款非常强大的开源工具,可大大提高安全效率,值得学习。
burp联动xray进行被动扫描
希望我的博客,能帮上你解决学习中工作中所遇到的问题
03-02 933
本文详细介绍了xray与burp进行联动的方法,被动扫描和手工测试双管齐下快速出洞,在burp上配置xray代理,将burp流量转发给xray扫描,这样便可坐收漏洞了 4、不是在piliang目录下,而是在xray.exe的目录这
xray 被动_BurpSuite + Xray 被动扫描配置
weixin_42355421的博客
12-24 690
BurpSuite手动测试配合xray被动扫描,实际使用结果还不错,主要扫描出的漏洞集中在敏感信息泄露和xss一类的。0x00、BurpSuite的代理配置:首先需要配置BurpSuite转发ip与端口:流程:1、选择 user options2、选择Upstream Proxy System3、添加ip与端口信息,第一行填 * 匹配任意字符,第二行填ip(这里的ip取决于你的xray服务所在的...
被动扫描联动rad+burpsuite(插件堆满)+xray
2301_79015613的博客
06-07 864
rad,全名 Radium,名字来源于放射性元素——镭, 从一个URL开始,辐射到一整个站点空间,一款专为安全扫描而生的浏览器爬虫burpsuite,通常用来抓包改包、重发等,是用于攻击web 应用程序的集成平台。它包含了许多工具,并为这些工具设计了许多接口,以促进加快攻击应用程序的过程xray,是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,可支持与wvas,BP等众多安全工具联合使用。
使用 Burpsuitexray 进行联动
gaomei2009的专栏
08-03 1886
使用 Burpsuitexray 进行联动
xray run with burpsuite
12-08
3. 接下来,Xray会通过BurpSuite的Proxy模块发送和接收网络请求,进行动态扫描和测试。 4. 在测试过程中,脚本会实时监控并记录扫描结果,当检测到新的漏洞时,自动触发报告生成。 5. 最后,脚本会依据当前日期命名...
rad-xray:xray+rad批量主动扫描
05-03
rad-xrayxray+rad批量主动扫描Usage:社区版用户url一行一个放url.txt中,和rad放同文件夹xray开启监听,./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html运行pypython3 rad+xray.py...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
漏洞扫描工具xray+批量调用xray脚本
04-09
全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,...
Xray脚本:(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web构造管理脚本
02-11
Xray-TLS + Web构建/管理脚本目录脚本特性支持(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web集成多版本bbr /锐速安装选项支持多种系统(Ubuntu CentOS Debian deeped fedora ...)支持多种指令集(x86 x86_64 ...
某信服EDR终端检测响应平台RCE漏洞
cj_Hydra's Blog
08-18 4874
前言: 这个平台是干嘛的,这里就不废话了,刚好赶上了护网期间爆出来的,回头就被告知护网结束,这里简单复现一下。 复现: 第一步:通过fofa搜索语法title="终端检测响应平台"可以找到一大批使用该系统的站点。 第二步:随缘点击进去一个来到主界面,也就是这个样子。 第三步:构造payload,这里漏洞文件是c.php,漏洞参数是host /tool/log/c.php?strip_slashes=system&host=id 直接root权限 反弹shell。 ...
Zookeeper未授权访问利用
cj_Hydra's Blog
08-05 4529
前言: ZooKeeper是一个分布式的,开放源码的分布式应用程序协调服务,是Google的Chubby一个开源的实现,是Hadoop和Hbase的重要组件。它是一个为分布式应用提供一致性服务的软件,提供的功能包括:配置维护、域名服务、分布式同步、组服务等。 Zookeeper 的默认开放端口是2181。Zookeeper 安装部署之后默认情况下不需要任何身份验证,造成攻击者可以远程利用 Zookeeper,通过服务器收集敏感信息或者在 Zookeeper 集群内进行破坏(比如:kill命令)。攻击者能够执
Kali安装php7.4+mysql的安装
cj_Hydra's Blog
11-16 3069
前言: php是世界上最好的语言,可是在kali中如何安装呢? 其实在默认的2020版本的kali里面已经集成了php7.3,只需要运行apt-get install php7.3即可对php7.3的安装。 那么如何安装php7.4呢? 添加源: 首先在 etc/apt/下新建一个文件夹 trusted.gpg.d sudo apt -y install lsb-release apt-transport-https ca-certificates sudo wget -O /etc/apt/truste
xray burpsuite
08-22
xray和Burp Suite是常用于网络安全渗透测试的工具。Burp Suite是一款功能强大的Web应用程序渗透测试工具,它提供了代理、扫描、爬行、攻击等多个模块,可以帮助安全测试人员发现和利用Web应用程序的漏洞。 xray是一款开源的安全测试工具,它专注于Web应用程序的漏洞检测和扫描。与Burp Suite相比,xray具有更强大的漏洞检测能力,并且可以通过多层代理与Burp Suite集成使用。通过将Burp Suite与xray建立代理,可以将流量从Burp转发到xray中进行深度扫描和漏洞检测。 使用xray与Burp Suite进行集成的步骤如下: 1. 启动xray,并设置代理监听地址和端口,例如:xray.exe webscan --listen 127.0.0.1:7777 2. 在Burp Suite中配置代理,将流量转发到xray的监听地址和端口(即127.0.0.1:7777)。 3. 进行Web应用程序的测试和扫描xray将接收到的流量进行漏洞检测,并生成相应的报告。 4. 最后,可以根据xray生成的报告进行漏洞修复和安全加固工作。 通过使用xray与Burp Suite的集成,可以提高Web应用程序的漏洞检测效果,并加强对应用程序的安全性评估和漏洞修复工作。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *3* [使用 Burpsuitexray 进行联动](https://blog.csdn.net/gaomei2009/article/details/126144006)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *2* [xray被动扫描+burpsuite](https://blog.csdn.net/cj_Allen/article/details/109301351)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值