Xray的安装与使用(超详细)

最新推荐文章于 2025-03-19 22:27:08 发布
最新推荐文章于 2025-03-19 22:27:08 发布
阅读量1k 收藏 15
点赞数 21
文章标签: 安全 web安全 网络 运维 windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_59598029/article/details/136380897
版权
xray工具保姆级的安装与使用教程
  • 前言
  • 一、Xray的安装
  • 二、Xray的使用

前言

提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。
xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用。

一、Xray的安装

  1. 下载安装包
    选择合适的版本,我的是Windows系统,这里我选择的是xray_windows_amd64.exe.zip

下载安装地址:https://download.xray.cool/

![在这里插入图片描述](https://img-
blog.csdnimg.cn/48ccb95ff68946da81ce9e8f19ec93ad.png#pic_center)

  1. 安装证书
    双击解压安装包。
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/e6617b83723248bb935f6987f369e28d.jpeg#pic_center)

接下来去生成证书,Windows系统最好在Powellshell下运行,先cd到xray目录下然后再运行

.\xray_windows_amd64.exe genca

生成证书。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/4a99f14640ee47dba095333559321ae6.jpeg#pic_center)

  1. 浏览器中添加证书
    将生成的证书添加到浏览器中,
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/02e32eb863604d03ae01278243d1089e.png#pic_center)
    点击设置→隐私→管理证书
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/e65e25047c7142209ec40189b6a9740b.png#pic_center)
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/1737bd91b82c4c608a3444f22c7e6056.jpeg#pic_center)
    选择将所有证书放入下列存储→受信任的根证书颁发机构,点击确定,即可完成证书导入。
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/d86faef90abd4e27986648b96491fa80.jpeg#pic_center)
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/3bf2c05a0a26470186a555efb9183abe.jpeg#pic_center)

  2. 配置代理
    我使用的是Microsoft Edge浏览器,配置如下:
    先在浏览器扩展中搜索proxy SwitchyOmega并添加,
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/86e04f9ea70141fca697776b02bfe7b1.png#pic_center)
    并按照如图设置,端口号设置一个平常不使用的,我设置的是7777,并设置一个名字比如xray。
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/74149c0949434a63addeecb494596205.png#pic_center)
    设置完成后如图所示,
    ![在这里插入图片描述](https://img-
    blog.csdnimg.cn/e4f72e618acd44198b2cfe8a6831dbf9.png#pic_center)

二、Xray的使用

  1. 开启xray
    第一步从命令行进入安装xray的目录下,输入以下命令启动xray。

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output
ming.html
未选择指定模块,xray默认全部扫描,
–html以html:格式输出
ming.html:输出的网页

![在这里插入图片描述](https://img-
blog.csdnimg.cn/bad822ff1667405890398d37b40127c6.jpeg#pic_center)
第二步打开浏览器代理,代理开启后xray会监听在此界面的网页。
![在这里插入图片描述](https://img-
blog.csdnimg.cn/d7bb55d3b15d422cbeeba26802f6533e.png#pic_center)
开启状态
![在这里插入图片描述](https://img-
blog.csdnimg.cn/8282ed0431dd41c991f8a7bc2bcb4725.jpeg#pic_center)

访问目标网址,随便点击网页中的一些选项即可开始测试,测试结果会输出到上述中的ming.html.
![在这里插入图片描述](https://img-
blog.csdnimg.cn/907d9986a7c84745a91b54b79f7b3f63.jpeg#pic_center)

学习网络安全技术的方法无非三种:

第一种是报网络安全专业,现在叫网络空间安全专业,主要专业课程:程序设计、计算机组成原理原理、数据结构、操作系统原理、数据库系统、 计算机网络、人工智能、自然语言处理、社会计算、网络安全法律法规、网络安全、内容安全、数字取证、机器学习,多媒体技术,信息检索、舆情分析等。

第二种是自学,就是在网上找资源、找教程,或者是想办法认识一-些大佬,抱紧大腿,不过这种方法很耗时间,而且学习没有规划,可能很长一段时间感觉自己没有进步,容易劝退。

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

第三种就是去找培训。

image.png

接下来,我会教你零基础入门快速入门上手网络安全。

网络安全入门到底是先学编程还是先学计算机基础?这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。而且这些对学习网络安全来说非常重要。但是对于完全零基础的人来说又或者急于转行的人来说,学习编程或者计算机基础对他们来说都有一定的难度,并且花费时间太长。

第一阶段:基础准备 4周~6周

这个阶段是所有准备进入安全行业必学的部分,俗话说:基础不劳,地动山摇
image.png

第二阶段:web渗透

学习基础 时间:1周 ~ 2周:

① 了解基本概念:(SQL注入、XSS、上传、CSRF、一句话木马、等)为之后的WEB渗透测试打下基础。
② 查看一些论坛的一些Web渗透,学一学案例的思路,每一个站点都不一样,所以思路是主要的。
③ 学会提问的艺术,如果遇到不懂得要善于提问。
image.png

配置渗透环境 时间:3周 ~ 4周:

① 了解渗透测试常用的工具,例如(AWVS、SQLMAP、NMAP、BURP、中国菜刀等)。
② 下载这些工具无后门版本并且安装到计算机上。
③ 了解这些工具的使用场景,懂得基本的使用,推荐在Google上查找。

渗透实战操作 时间:约6周:

① 在网上搜索渗透实战案例,深入了解SQL注入、文件上传、解析漏洞等在实战中的使用。
② 自己搭建漏洞环境测试,推荐DWVA,SQLi-labs,Upload-labs,bWAPP。
③ 懂得渗透测试的阶段,每一个阶段需要做那些动作:例如PTES渗透测试执行标准。
④ 深入研究手工SQL注入,寻找绕过waf的方法,制作自己的脚本。
⑤ 研究文件上传的原理,如何进行截断、双重后缀欺骗(IIS、PHP)、解析漏洞利用(IIS、Nignix、Apache)等,参照:上传攻击框架。
⑥ 了解XSS形成原理和种类,在DWVA中进行实践,使用一个含有XSS漏洞的cms,安装安全狗等进行测试。
⑦ 了解一句话木马,并尝试编写过狗一句话。
⑧ 研究在Windows和Linux下的提升权限,Google关键词:提权
image.png
以上就是入门阶段

第三阶段:进阶

已经入门并且找到工作之后又该怎么进阶?详情看下图
image.png

给新手小白的入门建议:
新手入门学习最好还是从视频入手进行学习,视频的浅显易懂相比起晦涩的文字而言更容易吸收,这里我给大家准备了一套网络安全从入门到精通的视频学习资料包免费领取哦!

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

网络安全设备资产指纹收集:应用指纹的探索实践
不忘初心,护天下安全!
11-11 244
设备资产指纹收集是一项网络攻防对抗中至关重要的任务。其中,应用指纹的收集对于准确识别网络中的各类应用程序、评估潜在安全风险以及制定有效的安全策略具有关键意义。本文将深入探讨网络安全设备资产指纹收集的关键技术,重点介绍我们团队收集的应用指纹集,并推荐一些相关的开源工具。
骨骼检测:基于YOLOv5的目标检测UI界面集成
m0_52343631的博客
02-27 157
YOLOv5是Ultralytics团队基于PyTorch开发的目标检测模型,具有显著的性能优势。YOLOv5其前代版本相比,改进了模型架构,提高了检测精度,增强了实时推理能力。高效性:支持高分辨率图像输入,检测速度快,适用于实时目标检测。灵活性:提供多个版本的模型(如YOLOv5s、YOLOv5m、YOLOv5l、YOLOv5x),适应不同的硬件环境和检测任务。易用性:安装和训练简单,支持多种预训练模型,可快速在新的数据集上进行微调。
Xray是什么
2023年最新地推相关信息
10-19 4538
Xray 项目已经确定独自运作,根据测试数据,服务端 direct + 客户端使用 splice 后性能比 VLESS 裸奔还要强上一倍,已经远超 trojan/trojan-go,本文的 Xray 一键安装脚本可以配置常规 VLESS 协议,VLESS+TCP+XTLS / VLESS+TCP+TLS / VLESS+WS+TLS 等多种组合,支持 CentOS 7+、Ubuntu 16+、Debian 8+ 及新版系统。V2ray 主要负责网络协议和功能的实现,既可以单独运行,也可以和其它工具配合。
【每天学会一个渗透测试工具】Xray安装使用指南
菜鸟小羊的博客
06-18 3331
代理模式下的基本架构为,扫描器作为中间人,首原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描,扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私安全——>证书——>查看证书
漏洞扫描器xray的下载使用
最新发布
xiexierong的博客
03-19 616
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
【渗透工具】xray安装使用教程
qq_39972370的博客
03-20 5467
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器。
xray 被动_xrayburp联动被动扫描
weixin_30994847的博客
12-24 339
0X00xray建立监听在实际测试过程中,除了被动扫描,也时常需要手工测试。这里使用 Burp 的原生功能 xray 建立起一个多层代理,让流量从 Burp 转发到 xray 中。首 xray 建立起 webscan 的监听.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html使用该命令...
Xray简单使用
WX公众号-小白学安全
10-26 3万+
概述 Xray是一款功能强大的安全评估工具,支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统 特点 检测速度快 支持范围广 高级可定制 安全无威胁 更新速度快 支持的漏洞检测类型 XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd-injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path-traversal) XML
MMDetectionV2 + Colab 超详细教程及踩坑实录
Mochadrone的博客
08-19 4296
为了参加讯飞的X光目标检测竞赛,我们组研究了目前通用的几种目标检测框架。最后测试出来MMDetectionV2的易用性和训练速度都比较出色。这篇文章是我结合MMDetection官方的Colab Tutorial以及自己的探索整理出来的超详细攻略,欢迎提问。
网络逻辑漏洞、SQLMAP、Nmap、burpsuite及其命令的使用方法
weixin_65695770的博客
04-07 4533
SQLMAP sqlmap是一种开源的渗透测试工具,可以自动检测和利用SQL注入漏洞以及接入该数据库的服务器。它拥有非常强大的检测引擎、具有多种特性的渗透测试神器、通过数据库指纹提取访问底层文件系统并通过外带连接执行命令。 支持的数据库:MySQL,Oracle, PostgreSQL, SQL Server, Microsoft Microsoft Access, IBM DB2, SQLite, Firebird, Sybase and SAP MAXDB。 sqlmap支持五种不同的注入模
Xray-web漏洞扫描工具.zip
02-02
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
Xray扫描器
热门推荐
秋水的博客
10-06 3万+
简介 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下 独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块 任意重定向检测模块 路径遍历模块 Xray扫描器内置插件 XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet...
XRAY~漏洞扫描工具
weixin_67832625的博客
08-20 1609
有人说:“所有的漏扫工具都是人写出来的,既然是工具,肯定没有人厉害,但是,漏扫可以大大减少你的工作量”
Xray——Windows及Linux安装
网安小白的博客
08-15 4492
X-ray之windows及linux图文安装使用详解~
Xray详细介绍
1
04-15 3332
扫描 扫描: xray webscan --basic-crawler url 测试: .\xray_windows_386.exe webscan --basic-crawler http://testphp.vulnweb.com/ 被动代理 代理扮演中间人角色。 1.安装浏览器代理插件:SwitchyOmega插件 2.生成xray证书安装证书 .\xray_windows_386.exe genca #生成证书 然后安装证书 3.启动代理 .\xray_win
Xray使用
话安全,katerina的后花园
08-07 1221
安装过程本文省略,想看安装请看这个——>《Xray安装使用》 20200806,下班前五分钟安装好了,在windows安装的,后执行了扫描一个url的命令。 .\xray_windows_amd64.exe webscan --url http://example.com/ --html-output xray-testphp.html 扫了个知道有SQL注入的地址,确实可以扫出来,整了txt和html的报告,都还行。 20200807,测试开代理被动扫描。 修改了config.yam
xray了解
satoujun的博客
04-27 8296
xray了解 文章目录xray了解一、xray是什么?二、xray的特性三、xray能检测的漏洞类型四、设计理念五、简易架构1、来源处理2、漏洞检测3、结果输出 一、xray是什么? xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成。 二、xray的特性 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单
Xray使用教程
qq_45955869的博客
05-29 959
设置浏览器 http 代理为http://127.0.0.1:7777,然后使用浏览器访问网页,就可以自动分析代理流量并扫描。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。–html-output 输出html格式。–basic-crawler 基础爬虫。webscan web页面的漏洞检测。webscan web页面扫描。选择64位的安装文件。–listen 监听。
xraygoby安装
11-19
XRay和GoBy都是用于软件依赖分析的工具,它们分别适用于不同的场景。 XRay(阿里巴巴开源)是一个微服务追踪系统,主要用于收集、存储和展示分布式系统的调用链路信息。如果你想在Linux上安装XRay,可以按照以下步骤操作: 1. 安装依赖:确保你已经安装了Go语言环境。然后通过`go get`命令获取源码: ``` go get github.com/alibaba/xray ``` 2. 编译并运行服务: ``` cd $GOPATH/src/github.com/alibaba/xray make && ./xray agent -server.listen=127.0.0.1:6180 ``` 这将启动代理服务器监听默认端口6180。 GoBy(也称为gboby)是Go语言的一个静态分析工具,它可以帮助开发者识别潜在的依赖问题。安装GoBy通常需要安装Git,并从GitHub克隆项目: ``` git clone https://github.com/goby-lang/goby.git cd goby make ./bin/goby analyze your_project_path ``` 确保替换`your_project_path`为你实际要分析的Go项目路径。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值