xray扫描器的安装及应用

最新推荐文章于 2024-05-25 11:21:54 发布
最新推荐文章于 2024-05-25 11:21:54 发布
阅读量3.4k 收藏 1
点赞数
分类专栏: 扫描器 文章标签: web安全 测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cs_mengxi/article/details/126628342
版权

xray扫描器的简介

xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器

工具功能

新的检测模块将不断添加
● 添加burp的history导出文件转yml脚本的功能
● log4j2-rce的检测
● 为自定义脚本(gamma)添加格式化时间戳函数
● 为自定义脚本(gamma)添加进制转换函数
● 为自定义脚本(gamma)添加sha,hmacsha函数
● 为自定义脚本(gamma)添加url全字符编码函数
● XSS漏洞检测 (key: xss)
利用语义分析的方式检测XSS漏洞
● SQL 注入检测 (key: sqldet)
支持报错注入、布尔注入和时间盲注等
● 命令/代码注入检测 (key: cmd-injection)
支持 shell 命令注入、PHP 代码执行、模板注入等
● 目录枚举 (key: dirscan)
检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件
● 路径穿越检测 (key: path-traversal)
支持常见平台和编码
● XML 实体注入检测 (key: xxe)
支持有回显和反连平台检测
● poc 管理 (key: phantasm)
默认内置部分常用的 poc,用户可以根据需要自行构建 poc 并运行。文档:https://docs.xray.cool/#/guide/poc
● 文件上传检测 (key: upload)
支持常见的后端语言
● 弱口令检测 (key: brute-force)
社区版支持检测 HTTP 基础认证和简易表单弱口令,内置常见用户名和密码字典
● jsonp 检测 (key: jsonp)
检测包含敏感信息可以被跨域读取的 jsonp 接口
● ssrf 检测 (key: ssrf)
ssrf 检测模块,支持常见的绕过技术和反连平台检测
● 基线检查 (key: baseline)
检测低 SSL 版本、缺失的或错误添加的 http 头等
● 任意跳转检测 (key: redirect)
支持 HTML meta 跳转、30x 跳转等
● CRLF 注入 (key: crlf-injection)
检测 HTTP 头注入,支持 query、body 等位置的参数
● Struts2 系列漏洞检测 (高级版,key: struts)
检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045等常见漏洞
● Thinkphp系列漏洞检测 (高级版,key: thinkphp)
检测ThinkPHP开发的网站的相关漏洞
详细解释参考

扫描器的安装

  1. 下载环境系统所需要的安装包https://github.com/chaitin/xray/releases
  2. 进入到xray 文件夹中,运行 .\xray_windows_amd64.exe genca 生成证书
    证书
  3. 安装证书,根据默认进行安装即可
  4. 设置浏览器代理
    代理
  5. 启动xray扫描器,并监听7777端口,并输出文档(文档名称可修改,后缀为html即可)
    ./xray_darwin_amd64 webscan --listen 127.0.0.1:7777 --html-output xray.html
  6. 在浏览器中切换为配置的代理模式,就可访问需要进行测试的网站地址。由于是被动扫描,需要手动浏览网页内容,手动停止扫(control+c)
  7. 扫描结束,在xray文件夹中查看报告

注:不同参数对应不同的输出方式
无参数:输出到控制台的标准输出
text-output:输出到文本文件中
json-output:输出到 JSON 文件中
html-output:输出到 HTML 文件中

cs_mengxi
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
探针漏洞_长亭xray:一款自动化Web漏洞扫描神器(免费社区版)
weixin_36212493的博客
01-12 2138
xray 简介xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。https://www.zhihu.com/video/1145001352550928384特色使用 go 语言编写,...
Xray安装与使用(超详细)
热门推荐
qq_45157535的博客
02-22 3万+
本文章主要描述了Xray工具的安装与使用,超详细版本。
xray自动化扫描工具批量化扫描
最新发布
violated的博客
05-25 404
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
Xray-强大的漏洞扫描工具
qq_59923059的博客
08-07 8070
xray 支持用户使用 YAML 编写 POC。YAML 格式的 “值” 无需使用双引号包裹,特殊字符无需转义YAML 格式使内容更加可读YAML 中可以使用注释rules:生成器将 POC 保存到 YAML 文件后使用--poc🚩总结🚩:xray扫描器解放了我的双手.好好学习SRC天天有.我的公众号.各位大佬们.关注一下.在下感激不尽....
安全扫描】linglong:一款甲方资产巡航扫描系统
Enweitech Software Works
04-20 1876
linglong 一款资产巡航扫描系统。系统定位是通过masscan+nmap无限循环去发现新增资产,自动进行端口弱口令爆破/、指纹识别、XrayPoc扫描。主要功能包括:资产探测、端口爆破、Poc扫描、指纹识别、定时任务、管理后台识别、报表展示。 使用场景是Docker搭建好之后,设置好你要扫描的网段跟爆破任务。就不要管他了,没事过来收漏洞就行了 功能清单 masscan+namp巡航扫描资产 创建定时爆破任务(FTP/SSH/SMB/MSSQL/MYSQL/POSTGRESQL/MONGOD.
Xray的简单使用
来日可期的博客
10-28 1230
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
XRay安装使用以及Burp联动
柠鹿的轨迹
11-09 2万+
0x00 前言 XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成…… XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器! 可以想象,当Burp与XRay联动时,必将碰撞出不一样的火花! 0x01 下载XRay ...
Xray安装与使用基础
Salois的博客
12-19 1211
官方使用指南:https://docs.xray.cool/#/tutorial/introduce。下载地址:https://stack.chaitin.com/tool/detail/1。选择将所有证书放入下列存储→受信任的根证书颁发机构,点击确定,即可完成证书导入。可新建情景模式,输入代理服务器ip,端口号设置平常不使用的,如7777。打开浏览器代理,代理开启后xray会监听在此界面的网页。将生成的证书添加到浏览器中,点击设置→隐私→管理证书。进入cmd,先cd到xray目录下,然后再运行。
crawlergo_x_XRAY:crawlergo动态爬虫+长亭XRAY扫描器的被动扫描
01-20
在网络安全领域,动态爬虫和安全扫描器是两种重要的工具,它们被用于发现网络应用程序的安全漏洞和潜在风险。本文将详细介绍360 0Kee-Team开发的`crawlergo`动态爬虫以及长亭科技的`XRAY`扫描器,并讨论如何结合两者...
xray自动扫描工具.zip
10-06
这个名为"xray自动扫描工具.zip"的压缩包包含了在Windows AMD64平台上运行的Xray扫描器的可执行文件(xray_windows_amd64.exe),以及相关的密钥文件(ca.key)、命令文档(指令.txt)和配置文件(config.yaml)。...
好用的漏洞扫描xray
08-23
**Xray 漏洞扫描器详解** Xray 是由长亭科技开发的一款高效、全面的漏洞扫描工具,尤其在网络安全领域中广受好评。它以其强大的扫描能力、易用性和准确性著称,帮助企业及个人用户及时发现并修复网络安全问题,从而...
xray_windows_amd64.exe.zip
03-31
Xray的核心特性在于其全面的扫描能力,能够针对Web应用程序进行深度的安全检测,找出潜在的漏洞和弱点。这包括SQL注入、跨站脚本(XSS)、命令注入、路径遍历等常见安全问题。通过使用Xray安全专家可以更准确地...
pppXray-main.zip
05-28
标签“扫描器”表明pppXray-main的核心功能是网络扫描,这可能包括端口扫描、服务识别、漏洞扫描等。这些扫描有助于识别网络上开放的服务、版本信息以及潜在的漏洞。 “xray”是一个广泛使用的开源项目,通常用于...
xray工具保姆级的安装与使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
Javachichi的博客
04-15 6826
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用。
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 5954
【漏扫工具】XRAY使用
xray扫描器的使用 (长亭科技公司创造)
yyj1781572的博客
11-27 8812
xray扫描器的使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描安全工具
xray简单使用指南
weixin_44259638的博客
05-06 2772
前言收到需求如下 用户还需要一个报告 询问了群里的小伙伴推荐使用xray进行扫描xray漏洞扫描G了,领导不满意的是还需要人写测试报告,因此采用awvs可以直接生成PDF发给甲方看。
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞
Love&Share
04-02 1万+
xray简介 xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 特点 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用
漏洞扫描工具——xray使用方法
初岄的博客
03-24 2978
漏洞扫描工具——xray使用方法
xray linux安装
08-30
XRay是一款网络安全工具,用于网络流量分析和安全监测。下面是在Linux上安装XRay的步骤: 1. 首先,访问XRay在GitHub上的代码仓库,找到适用于Linux的安装包。 2. 下载安装包,并将其保存在本地目录中。 3. 在终端中打开所下载的安装包,并解压缩文件。可以使用以下命令: ``` tar -zxvf xray_linux_amd64.tar.gz ``` 解压缩后,将会生成一个可执行文件。 4. 将可执行文件移动到系统的执行路径下,使用以下命令: ``` sudo mv xray /usr/local/bin/ ``` 5. 接下来,为XRay添加执行权限,使用以下命令: ``` sudo chmod +x /usr/local/bin/xray ``` 6. 确保系统中已经安装了所需的依赖库。XRay依赖于glibc和libpcap库。如果系统没有安装这些库,可以使用包管理器安装它们。 7. 完成以上步骤后,可以在终端中输入以下命令来验证XRay是否安装成功: ``` xray version ``` 如果成功安装,将会显示XRay的版本信息。 现在,XRay已经在Linux系统上成功安装。可以根据自己的需求和使用场景配置和使用XRay,进行网络流量分析和安全监测。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值