X-RAY使用方法(一)

最新推荐文章于 2024-06-08 09:00:00 发布
最新推荐文章于 2024-06-08 09:00:00 发布
阅读量5.8k 收藏 16
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hauzhao/article/details/117999170
版权

    X-RAY是一款完善的安全评估工具,有着很多的有点,之前学长推荐了一下,然后自己去试过之后发现确实很好用,然后就写一下这个工具的使用方法,顺便自己复习一下做个笔记。只是我自己纪录自己的学习而已,有些的不好的地方包容一下,互相学习的一个过程而已,大佬勿喷。

下载软件

    这个软件是有自己的官方网站的,虽然X-RAY是免费下载,但是它却不是源码开放的。

    直接去X-RAY的github上下载(https://github.com/chaitin/xray/releasesb),X-RAY已经更新了很多版本了

找到自己的版本下载。

然后发现官网有一篇文档写的比较详细

xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:

  • 检测速度快。发包速度快; 漏洞检测算法高效。
  • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
  • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
  • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
  • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:

  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd-injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path-traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute-force)
  • jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf-injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • POC 框架 (key: phantasm)

上面我从官网复制下来的,如果要看更详细的可以去官方的文档

https://docs.xray.cool/#/tutorial/webscan_basic_crawler

下载完解压之后,有个exe的程序,双击它是没用的,因为X-RAY得用电脑终端进行使用cmd或者powershell,方法如下。

1.打开cmd

2.cd进入文件目录

3.输入

xray_windows_amd64.exe version

4.跳出来这个版本信息就代表下载成功了。

直接扫描功能

    X-RAY是有三种扫描模式的,我学习的是基础爬虫扫描,爬虫扫描就是软件模拟人去尝试各种操作,速度比较快,但也是有一些缺陷的。

    我用的测试机是owasp,个人也是很推荐这个靶机的,因为有很多的测试项目。

    点击左下角的Damn Vulnerable Web Application

打开是这样的

进入文件程序目录后,用这个代码

xray_windows_amd64.exe webscan --basic-crawler http://192.168.211.131/dvwa/index.php

这个网页可以改成自己想要扫的网站,但不能乱扫,出了事概不负责。

稍微等一会儿就会发现扫出来很多得东西。

这些红色的就是我们扫出来的漏洞。按ctrl+c可以暂停,后续可以根据对应的漏洞进行渗透工具了。但这个方法比较不好因为看着不是特别直观,而且终端关了之后就看不到这些信息了,如果用代理被动扫描这些问题会少很多。

花昭huazhao
关注
  • 1
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
x-ray社区版简单使用教程
麻辣小龙虾
11-09 7063
下载地址 https://github.com/chaitin/xray 注意:xray 不开源,直接下载构建的二进制文件即可 证书生成 ./xray_windows_amd64 genca 使用方法 1,使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描(xray 的基础爬虫不能处理 js 渲染的页面) ./xray_windows_amd64 webscan --basic-crawler http://example.com --html-output test.html 2,使用 HTTP 代理进行被动
Elements of Modern X-ray Physics.pdf
12-21
Elements of Modern X-ray Physics第二版彩色版 X-ray与物质相互作用,X-ray成像的物理机制原理
X-ray windows安装与使用
2301_81475812的博客
03-20 1105
Xray被动扫描需要注意的一个地方就是,在进行扫描的同时,它只能扫描浏览器访问的网页,所以在扫描的时候,需要自己浏览网站的各个模块,这个扫描模式相较于主动扫描,没那么容易被WAF发现。1.解压xray只发现一个exe文件,先不要运行,进入到该目录下的命令行模式。配置xray侦听端口,浏览器设置代理,开启代理,xray 实现被动扫描。输入命令# xray_windows_amd64.exe genc。3.双击ca.crt,安装,下一步,然后入下图。一般会下载这个64位的,可根据自己的电脑自行选择。
xray_windows_amd64.exe.zip
06-22
被动扫描,爬虫分析, 。
Xray的安装与使用(超详细)
最新发布
cc123489ll的博客
06-08 807
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用
xray使用方法
山兔的博客
03-24 566
下载地址:https://download.xray.cool/ 下载完之后,把下面的插件复制到文件的目录即可 https://download.csdn.net/download/m0_53008479/85028461 使用方法:https://github.com/chaitin/xray 代码参考: .\xray_windows_amd64.exe webscan --basic-crawler example.com --html-output vuln.html
X-ray学习(1)
qq_46055185的博客
11-11 362
X-ray学习(1)X-ray简介漏洞覆盖范围广检测速度快检测算法优秀高度定制化更新速度快下载安装下载地址文档地址支持平台安装使用代理模式扫描 X-ray简介 漏洞覆盖范围广 检测速度快 检测算法优秀 高度定制化 更新速度快 下载安装 下载地址 https://github.com/chaitin/xray/releases 文档地址 https://docs.xray.cool/#/ 支持平台 Windows X86 Windows X64 Linux X86 Linux X64 Mac OS ARM
我的世界1.7.10X-ray
03-02
可以在我的世界1.7.10中透视所有矿石
Minecraft X-Ray-开源
05-29
为了解决这一问题,出现了Minecraft X-Ray——一个专为Minecraft设计的开源工具,旨在帮助玩家快速定位并挖掘到珍贵的矿石。 Minecraft X-Ray 是一款非官方的辅助程序,由plusminus在Minecraft论坛上开发并开源,...
基础电子中的X-Ray检测,X-Ray IC检测,X-Ray芯片检测
10-21
X-Ray检测,即为在不破坏芯片情况下,利用X射线透视元器件(多方向及角度可选),检测元器件的封装情况,如气泡、邦定线异常,晶粒尺寸,支架方向等。  标 准:Inspection Standard:JEDEC &CECC  适用情境:...
WinXray(windows系统)
09-01
网站工具,加快网速,windows系统下使用
xray-16, X 射线引擎 1.6扩展 在 freenode.org 上,加入我们的IRC频道 #openxray.zip
10-10
xray-16, X 射线引擎 1.6扩展 在 freenode.org 上,加入我们的IRC频道 #openxray x 射线引擎 1.6扩展这个库包含基于版本 1.6.02的x 射线引擎源。 原始引擎在 S.T. A.L.K.E.R 中使用。 GSC游戏世界发布Pripyat游戏。这是一个共享想要实现的想法的地方,收集想要在引擎上工作的人,并在源代
xray-16:X-Ray引擎的改进版本,该游戏引擎在GSC Game World举世闻名的STALKER游戏系列中使用
01-30
OpenXRay的 OpenXRay是X-Ray引擎的改进版本,该引擎是GSC Game World在举世闻名的STALKER游戏系列中使用的游戏引擎。 支持的游戏 普里皮亚季的召唤 晴朗的天空 切尔诺贝利之影 是 发布候选(请参阅 ) 尚未(请参阅 ) 建造状态 平台 编译器 构型 状态 视窗 MSVC 调试/混合/发布(x64 / x86) Linux 海湾合作委员会 调试/发布(x64 / x86) 文献资料 如何 构建和设置 安装并播放 -- 提供了等更多内容。 更多细节 该存储库包含基于X-Ray Engine版本1.6.02的OpenXRay Engine源。 原始引擎用于GSC Game World发布的STALKER:Pripyat游戏。 在这里,您可以共享有关实现方法的想法,聚集想要在引擎上工作的人员以及在源代码上工作的人员。 如果您发现错误或有增强请求,请提交 。 拉请求赞赏! 但是,应考虑以下事项: 我们希望使游戏尽可能接近原始游戏,因此与其引入新的游戏功能,不如考虑添加非游戏功能,修复错误,提高性能和代码质量 重大变更应在实施之前进行讨论
jiedian
03-14
自用议员,需要时更新,法院来自freev2
X-ray 检测仪操作说明
11-15
原厂X-ray检测仪操作说明,用于半导体制造业检测bonding质量。
X-ray简要介绍
JJJ's blog
11-12 7260
0 说明 本文主要内容是关于X-ray physics 的个人学习笔记,简单入门介绍。不少内容是博主自己的学习总结和看法,有不对的地方欢迎一起交流学习。 remark: 由于内容大致是小组presentation的演讲稿。所以大部分篇幅基本是英文,但是都是比较简单的英文,当然没有阅读里故意难住考生的长难句,有兴趣的jmm还有xdm希望能有耐心阅读。 1 History The history of medical technology has been shaped by groundbreaking in
Xray工具的安装与使用
Dream的博客
09-17 988
xray 配置文件中默认不允许扫描 gov 和 edu 等网站,如果想对这些网站进行授权测试,需要在config.yaml配置文件中移除hostname_disallowed​​ 的相关配置才可以。严禁未授权的测试!
opengl x-ray 显示
12-19
OpenGL X-ray 显示是一种利用OpenGL图形库实现的特殊效果,它可以将物体的内部结构显示出来,从而使用户能够直观地观察物体的内部构造和组成。 在实现OpenGL X-ray 显示时,首先需要将3D物体的模型加载到程序中,并且设置好光照和材质等参数。然后通过使用OpenGL提供的深度测试和混合功能,可以在绘制物体时将其外部表面绘制为透明的,并且将内部结构以一定的方式显示出来。这样就可以呈现出X-ray(X射线)的效果,让用户可以看到物体的内部组织、空腔以及其他结构,并且可以通过旋转、缩放和移动操作来观察物体的各个部分。 OpenGL X-ray 显示在医学、工程和科学领域有着广泛的应用,比如在医学图像处理中,可以通过X-ray显示来帮助医生诊断和治疗疾病;在工程设计中,可以用来展示产品的内部构造和设计细节;在科学研究中,可以用来可视化复杂的结构和数据。 总的来说,OpenGL X-ray 显示是一种功能强大的图形效果,可以帮助用户更直观地理解和观察物体的内部结构,为各个领域的应用提供了便利和支持。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值