xray工具使用

最新推荐文章于 2024-04-24 09:49:20 发布
最新推荐文章于 2024-04-24 09:49:20 发布
阅读量5k 收藏 5
点赞数 3
分类专栏: 工具使用 渗透测试 文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/huangyongkang666/article/details/123653566
版权

xray工具使用

1.基本使用

Linux / Mac用户在终端(终端)运行,Windows用户请在Powershell或其他高级Shell中运行

查看 xray 的版本号。

 .\xray_windows_amd64.exe version

使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描

xray webscan --basic-crawler http://example.com --html-output xxx.html  (--html-output:输出到 HTML 文件中)

使用 HTTP 代理进行被动扫描:

设置浏览器 http 代理为http://127.0.0.1:7777,然后使用浏览器访问网页,就可以自动分析代理流量并扫描。

xray webscan --listen 127.0.0.1:8080 --html-output xxx.html

快速测试单个 url, 无爬虫:

xray webscan --url http://example.com/?a=b --html-output single-url.html

.\xray_windows_amd64.exe servicescan --target 127.0.0.1:8009

批量检查的 test.file 中的目标, 一行一个目标,带端口

.\xray_windows_amd64.exe ss --target 127.0.0.1:8009 –json-output test.json

手动指定本次运行的插件:

默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。

xray webscan --plugins cmd_injection,sqldet --url http://example.comxray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:8080

子域名扫描

.\xray_windows_amd64.exe sd baidu.com --text-output baudusubdomain.txt

生成 ca 证书:

.\xray_windows_amd64.exe genca

帮助

.\xray_windows_amd64.exe –h

COMMANDS:
   webscan, ws      Run a webscan task
   servicescan, ss  Run a service scan task
   subdomain, sd    Run a subdomain task
   poclint, pl      lint yaml poc
   transform        transform other script to gamma
   reverse          Run a standalone reverse server
   convert          convert results from json to html or from html to json
   genca            GenerateToFile CA certificate and key
   upgrade          check new version and upgrade self if any updates found
   version          Show version info
   help, h          Shows a list of commands or help for one command

GLOBAL OPTIONS:
   --config FILE      Load configuration from FILE (default: "config.yaml")
   --log-level value  Log level, choices are debug, info, warn, error, fatal
   --help, -h         show help

xray 的命令有 6 个,抛开 version 和 help 这两个信息展示型的命令,还有 webscan, reverse, genca, subdomain 四个。

reverse 命令用于启动单独的盲打平台服务,盲打平台用于处理没有回显或延迟触发的问题。

genca 用于快速生成一个根证书,主要用于被动代理扫描 HTTPS 流量时用到。

subdomain 是子域名扫描的命令,仅高级版才有。

servicescan, ss用来探测服务漏洞

webscan 是 xray 的重头戏。

2.webscan 功能介绍

webscan   扫描web漏洞

运行 .\xray_windows_amd64.exe webscan -h,可以看到


subdomain子域名扫描

扫描 example.com,并将结果输出到 example.txt

.\xray_windows_amd64.exe  subdomain --target example.com --text-output example.txt

扫描 example.com,并使用 console ui 交互式界面,同时记录结果到 example.txt

.\xray_windows_amd64.exe subdomain --target example.com --console-ui --text-output example.txt

3.Xray联动

1. Xray与burp联动

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html
makven60
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
渗透实战-通过fofa+rad+xray批量挖掘src
beirry的博客
10-23 1861
这篇文章主要是实现通过fofa来收集资产信息,将信息传递给rad,xray来进行挖掘src。
2023xray漏洞测试工具
02-27
2023xray漏洞测试工具
1、xray常用命令
m0_69931798的博客
10-10 437
单个网站扫描xray.exe webscan --basic-crawler url(测试) --html-output 2.html(生成报告名字)与BP联动扫描xray.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html。脚本批量扫描:python xray.py。请下载的时候选择最新的版本下载。
Xray安装与使用
m0_48574718的博客
02-28 6317
xray+burp联动
Xray的安装与使用(超详细)
cc567o的博客
04-24 549
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用
xxx.rar_injection xxx_injectionxxx_injection视频xxx_sql_sql注入文档
09-20
SQL注入主要代码文档,超过这个时间则不再访问
Xray】 安装 | 使用,结合SwitchyOmega插件批量挖洞
吉吉的博客
02-16 447
Xray 漏洞扫描工具安装和使用教程;Xray结合浏览器插件SwitchyOmega进行快速批量的漏洞挖掘。
web扫描工具Xray
qq_58000413的博客
10-22 871
1、burpsuite作为Xray的上游代理(抓Xray发包)浏览器 -> Xray -> burpsuite -> 服务端。浏览器 -> burpsuite ->Xray -> 服务端。2、Xray作为burpsuite的上游代理(协助测试)foxyproxy、switchyomega等代理插件。Xray.exe -h 查看帮助。2、启动Xray、生产ca证书。4、运行Xray,开启监听。针对一个单个url地址检测。谁离浏览器近设置谁的代理。1、设置允许扫描的域名。
Error creating bean with name 'userServiceImpl'Injection of autowired 分布式新搭建项目无法自动装配 creating bean
白猫黑猫
05-29 1万+
错误:Error creating bean with name 'userServiceImpl': Injection of autowired dependencies failed; nested exception is org.springframework.beans.factory.BeanCreationException: Could not autowire field:...
xray自动扫描工具.zip
10-06
xray自动扫描工具+命令文档
全版本xray漏洞扫描工具
07-02
Xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有xray 漏洞扫描器 和Radium 爬虫工具,均有多名经验丰富的安全开发人员和数万名社区贡献者共同打造而成。
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
安全测试工具xray 版本1.9.4
02-08
安全测试工具xray 版本1.9.4
fofa2Xray:用户fofa API获取主机并进行X射线扫描以进行WebScan
04-16
fofa2Xray 一个工具,可以结合和的自动批量多线程扫描。 也可以使用Xray扫描IP /域名列表。 适用于Windows,Linux和macOS的golang编码。文献资料介绍使用fofa api获取目标域列表,然后通过xray进行网络扫描。演示版...
寒假学习第一天---批量挖掘漏洞--xray+vulmap+goby+burpsuit
m0_73581247的博客
01-10 556
寒假学习第一天---批量挖掘漏洞--xray+vulmap+goby+burpsuit这里是小六花带你学习的第一天,今天学习批量挖掘漏洞提示:注意,未经授权,禁止使用这几个应用联合利用可以帮助我们更好的发现漏洞,可以大量刷edu,众测的漏洞,注意,未经授权,禁止使用 ,小六花在这里祝你开心每一天,学习漏洞姿势加一。
Xray 安装与使用心得
diaobusi的博客
06-14 4539
存中…(img-kZZrq75U-1686719487446)]在burp suite上配置好我们刚才在xary设置的Ip和端口,点击run运行[外链图片转存中…(img-e9HVVsk2-1686719487447)]当我们访问我自己的靶机的时候,xray的被动扫描就已经开始了[外链图片转存中…(img-rpL1taDX-1686719487447)]已经被动扫描到多条漏洞,我们在看看保存的文件有哪些内容[外链图片转存中…(img-x9GGihkP-1686719487447)]
Angular -- Service & Dependency Injection
DOITJT的博客
12-02 287
Definition: Dependencies --services which have a functionality Functionality -- Something needed by components and directives in the application Injection-- A mechanism provided by Angular to provide services to components and directives Dependency...
sql injection violation, multi-statement not allow 最终解决方案
热门推荐
Ace of spades
11-01 3万+
sql injection violation, multi-statement not allowMybatis+Mysql+Druid+SpringMVC+Spring解题思路: Mybatis+Mysql+Druid+SpringMVC+Spring 本博客结合前三篇观看更顺畅: spring boot集成MyBatis,集成Druid批量更新报错multi-statement not a...
xray网络安全工具
最新发布
06-01
Xray是一款功能强大的网络安全测试工具,支持各种类型的安全测试,包括Web应用程序测试、API测试、漏洞扫描等。Xray还提供了一些高级功能,如自动化测试、持续集成等,使其成为一款非常实用的安全测试工具。 具体来说,Xray主要有以下特点: 1. 智能扫描Xray能够自动识别Web应用程序中的漏洞,并对其进行扫描。 2. 高效性能:Xray在测试过程中能够快速、准确地分析数据包。 3. 全面覆盖:Xray支持多种协议的测试,可以测试Web应用程序、API、Web服务等。 4. 易于使用Xray拥有友好的用户界面和丰富的文档,使得用户可以轻松上手。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值