Xray 漏洞扫描工具使用方法

已于 2023-01-20 00:32:57 修改
阅读量2.4k 收藏 7
点赞数 2
分类专栏: 渗透测试工具集合 文章标签: 安全性测试 web安全 安全
于 2022-08-28 20:27:11 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lza20001103/article/details/126564244
版权

Xray 漏洞扫描工具使用方法

文章目录


申明:本文内容均在内网中进行,实验环境为自己服务器所搭建的DVWA靶场。

  1. 使用XRAY进行主动扫描和被动扫描(window)

  2. 下载地址:Github: https://github.com/chaitin/xray/releases

  3. 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析。

1.1解压xray只发现一个exe文件,输入powershell
在这里插入图片描述
1.2输入命令# .\xray_windows_amd64.exe genca
在这里插入图片描述
1.3安装生成的CA证书
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
1.4双击xray会生成config.yaml配置文件,对配置文件进行配置在33行添加cookie
在这里插入图片描述
1.5主动扫描
主动扫描是 xray 通过爬虫模拟用户点击操作进行扫描。

   命令# .\xray_windows_amd64.exe webscan --basic-crawler http://192.168.0.8/DVWA-master/ --html-output DVWA.html

在这里插入图片描述
#1.6完成扫描查看文档
在这里插入图片描述
在这里插入图片描述
2.1 被动扫描,配置xray侦听端口,并将浏览器流量引入bp在流进xray 实现被动扫描
2.2 xray配置侦听模式 命令# .\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output DVWA2.html
在这里插入图片描述
进入侦听模式在这里插入图片描述
2.3配置bp代理导入流量在这里插入图片描述

Ps:目标 Hosts 可以用来指定哪些网站的流量转发到此代理,***表示所有,某个站点的可以使用 *.baidu.com 来进行匹配

2.4打开登入DVWA 打开bp 点击 测试点进行被动扫描(bp不用开启截断)
在这里插入图片描述
点击测试点 输入任意数据 submit xray会自动探测并显示结果在这里插入图片描述
在生成的DVWA2.html文件中也能找到vuln记录在这里插入图片描述
大家要是需要了解更多的渗透测试的知识的话,可以关注一下我的博客噢,里面有你想要的东西的。
在这里插入图片描述

炫彩@之星
关注
  • 2
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
pppXray:Xray批量化自动扫描
05-12
pppXray 作用: Xray批量化自动扫描 使用方法: 一,在target.txt里按行放置待扫描URL,如图: 二,将Xray所在文件夹配置到电脑环境变量里 三,然后运行pppXray.py即可 运行截图: 关于 2021/2/20更新 添加命令行参数与自定义xray插件用法,可通过 --help查看 -r,--readfile参数指定批量读取文件名,默认文件名为target.txt --plugins参数指定xray插件 如图: 输入 python3 pppXray.py --plugins cmd_injection -r target.txt,使用注入插件进行检测 2021/5/5更新 看到了黑白某道的公众号文章,这么菜的脚本也能水文章了,xs 但为了方便初学安全的小伙伴更方便使用xray,参考之前的经验,在脚本中兼容专业版和社区版,以及添加分类的功能,大伙儿就不用点开每个漏洞
Burp+Xray联动(被动扫描)
m0_65663088的博客
01-26 1084
xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。进入xray目录下,双击ca.crt-->安装证书-->证书存储:受信任的根证书颁发机构-->证书导入成功。我们就可以用浏览器访问页面,xray就会自动的扫描漏洞了。方法2:在浏览器中设置代理。
常用的被动扫描工具Xray
mashiro_hibiki的博客
03-07 973
由长亭科技所开发的漏洞检测工具,所支持检测的漏洞类型有:XSS漏洞检测、SQL 注入检测、命令/代码注入检测支持 shell 命令注入、PHP 代码执行、模板注入等、目录枚举dirscan检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测、外部实体注入检测xxe、支持有回显和反连平台检测poc等
xray自动化扫描工具批量化扫描
最新发布
violated的博客
05-25 338
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
XRAY 使用方法归纳
weixin_68177269的博客
11-29 1784
打开webscan功能扫描web漏洞,同时监听本机7891端口目的是与burp结合。在浏览器管理证书选项-受信任的根证书颁发机构中导入该证书。(命令中的网址可以是ip地址,也可以是域名地址)第一次实现扫描功能需要将生成的证书导入到浏览器。使用基础爬虫爬取,并对爬取连接进行漏洞扫描。运行该命令之后,会在目录下生成一个证书。之后就会在该目录生成漏洞信息的文件。打开xray所在目录,打开终端。二、被动扫描(与burp结合)1.打开端口监听,导入证书。同样在终端中输入命令
xray扫描器的使用 (长亭科技公司创造)
yyj1781572的博客
11-27 8741
xray扫描器的使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描安全工具
漏洞扫描XRAY
HAKUNAMATATATTA的博客
11-27 4583
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
常规漏洞检测工具-xray(三)
siu~
08-03 286
xray 是一款功能强大的安全评估工具
工具Xray的安装,入门的使用方法
分享Python知识
03-30 1万+
工具Xray的安装,入门的使用方法
Xray的安装与使用(超详细)
热门推荐
qq_45157535的博客
02-22 2万+
本文章主要描述了Xray工具的安装与使用,超详细版本。
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
全版本xray漏洞扫描工具
07-02
Xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有xray 漏洞扫描器 和Radium 爬虫工具,均有多名经验丰富的安全开发人员和数万名社区贡献者共同打造而成。
2023xray漏洞测试工具
02-27
《2023xray漏洞测试工具详解》 在网络安全领域,漏洞测试是保障系统安全的重要环节。2023xray漏洞测试工具以其高效、全面的特性,成为了安全从业者和研究人员的得力助手。本文将详细介绍这款工具的背景、功能、使用...
Xray-web漏洞扫描工具.zip
02-02
漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名...
xray自动扫描工具.zip
10-06
Xray是一款广泛应用于网络安全检测和渗透测试的自动化扫描工具,主要功能是发现并评估系统漏洞。这个名为"xray自动扫描工具.zip"的压缩包包含了在Windows AMD64平台上运行的Xray扫描器的可执行文件(xray_windows_...
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 5885
【漏扫工具XRAY使用
Xray-基础详细使用
weixin_44431280的博客
07-04 9574
Xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,可支持与AWVS,BP等众多安全工具联合使用
xray漏洞扫描原理
11-29
Xray是一款功能强大的漏洞扫描工具,其扫描原理主要分为两个部分:被动扫描和主动扫描被动扫描Xray通过拦截HTTP请求和响应,对请求和响应进行分析,从而发现潜在的漏洞。被动扫描不会对目标系统造成任何影响,因此非常安全。 主动扫描Xray通过发送各种类型的攻击向目标系统发起攻击,从而发现漏洞。主动扫描可能会对目标系统造成影响,因此需要谨慎使用。 总的来说,Xray扫描原理是通过对目标系统进行各种类型的攻击和分析,从而发现漏洞。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

炫彩@之星

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值