Xray使用

已于 2022-03-07 00:33:40 修改
阅读量4.1k 收藏 7
点赞数 1
分类专栏: 新手实用 文章标签: http java 网络协议
于 2022-03-07 00:32:07 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_63581584/article/details/123320457
版权

下面我们运行的是windowX-ray版本

xray_windows_amd64.exe -h 打开常用指令

首先我们了解一下扫描结果的一些参数:

Vuln:漏洞名称

Target:扫描的目标;

VulnType:漏洞类型

Payload:有效攻击代码;

Paramkay:存在漏洞的参数



被动扫描:需要新设置一个代理,到本机的127.0.0.1:7777端口,在浏览器设置中选择,安全导入证书,命令(xray_windows_amd64.exe genca)生成一个CA证书,将CA证书导入到浏览器,然后输入命令如下,
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output test.html
开始监听到7777代理端口的所有流量(浏览网站)输出到test.html,如图监听成功

进行爬虫扫描指令:
xray_windows_amd64.exe webscan --basic-crawler http://http://192.168.0.109/ceshi/ --html-output test.html

代理步骤
1.先设置到浏览器到xray的代理。2.xray输入命令开启7777端口监听模式,将config.yaml配置文件中代理到目标端口设置成bp。bp在开启抓包,就能看见payload的数据包了

如图是配置信息,里面插件模块,是各个漏洞需要检测的信息,可以适当修改。

reverse是需要反向代理连接的目标配置,如配置反弹注入的数据库信息。

mitm:被动代理的一些配置。

basic-crawler爬虫的一些基础配置。 

subdom:收费版才用的子域名扫描

burp作为Xray上游代理(抓取Xray发包,主要是查看Xray发的paload包)
浏览器->Xray->burp->服务器

代理步骤(常用):
1.先浏览器设置bp代理,2.bp选择user options ,选择Proxy servers ,选择add,一个 * ,第一个就是选择代理到的服务(如xray监听的127.0.0.7777)。xray在开启本机的7777端口监听。
Xray作为burp上游代理(协助测试)
浏览器->burp>Xray->服务器

xff_123456
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Xray简单使用
WX公众号-小白学安全
10-26 2万+
概述 Xray是一款功能强大的安全评估工具,支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统 特点 检测速度快 支持范围广 高级可定制 安全无威胁 更新速度快 支持的漏洞检测类型 XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd-injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path-traversal) XML
被动式扫描 x-ray——简单介绍
W小哥
11-17 2231
一、下载地址 https://github.com/chaitin/xray/releases 二、工具简单介绍 在首页有使用文档,可以查看 所有的检测POC集成在xray的pocs目录中,相当于把网上的一下公开的漏洞信息整理到这个库中去了 三、简单使用示例 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描 本示例使用的是windows版本的,windows版本的直接是一个exe文件 需要进入cmd界面,输入命令 xray_windows_amd64 webscan --basic-crawler UR
xray工具保姆级的安装与使用教程(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
2201_75362610的博客
05-18 965
提示:工具需要合理使用,读者使用不当与本作者无关,以下案例仅供参考。xray是一款辅助评估的扫描工具,不带有攻击。且支持 Windows / macOS / Linux 多种操作系统,本文中主要介绍他的安装以及使用
xray的安装及使用
m0_59098212的博客
11-02 930
xray工具使用,与其他工具联用,后续更新
Xray 安装与使用心得
diaobusi的博客
06-14 4618
存中…(img-kZZrq75U-1686719487446)]在burp suite上配置好我们刚才在xary设置的Ip和端口,点击run运行[外链图片转存中…(img-e9HVVsk2-1686719487447)]当我们访问我自己的靶机的时候,xray的被动扫描就已经开始了[外链图片转存中…(img-rpL1taDX-1686719487447)]已经被动扫描到多条漏洞,我们在看看保存的文件有哪些内容[外链图片转存中…(img-x9GGihkP-1686719487447)]
xray简单使用指南
weixin_44259638的博客
05-06 2736
前言收到需求如下 用户还需要一个报告 询问了群里的小伙伴推荐使用xray进行扫描xray漏洞扫描G了,领导不满意的是还需要人写测试报告,因此采用awvs可以直接生成PDF发给甲方看。
xray
03-22
10. **最佳实践**:遵循安全编码原则,结合Xray使用,可以有效提升应用程序的安全性,减少安全漏洞。 总之,Xray是一个强大的安全测试工具,其全面的功能和灵活的集成能力使得它在软件开发的各个阶段都能发挥重要...
xray最新版.zip
01-09
使用Xray进行渗透测试时,用户应遵循道德规范和法律法规,仅用于合法的安全评估和防护,避免非法入侵或破坏。作为使用者,你需要理解并遵守这些规定,确保你的行为符合网络安全伦理标准。 总之,Xray是渗透测试领域...
好用的漏洞扫描xray
08-23
1. **定期扫描**:为了保持网络安全,应定期使用 Xray 对关键资产进行漏洞扫描。 2. **权限管理**:限制对扫描工具的访问权限,防止恶意使用或误操作。 3. **培训与教育**:提高团队的安全意识,进行安全培训,...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
xray使用教程
Accompany的博客
04-04 1万+
安装xray 文章目录安装xray基本使用goby与xray的联动 官网 xray.cool 安装社区版即可 选择你需要的版本,这里以windows版本为例 解压后为exe格式,我们以Powershell打开当下文件夹 shift+右键 或者 在文件路径处输入powershell .\xray_windows_amd64.exe 运行xray 基本使用 这块比较简单,可以在很多地方获取到用法,也可以-h查看用法,选择自己需要的命令 例如扫描单个u
工具之xray使用教程
热门推荐
shy的博客
11-04 6万+
xray扫描器 xray是一种功能强大的扫描工具。xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有 xray 漏洞扫描器和 Radium 爬虫工具,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。 下载地址 https://github.com/chaitin/xray/releases 版本选择 darwin_amd64苹果系统 linux_386Linux x86 linux_amd64Linux x64 windows_386...
1、xray常用命令
m0_69931798的博客
10-10 504
单个网站扫描:xray.exe webscan --basic-crawler url(测试) --html-output 2.html(生成报告名字)与BP联动扫描:xray.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html。脚本批量扫描:python xray.py。请下载的时候选择最新的版本下载。
xray反向代理失败修复方法
wengek的博客
12-03 9379
nginx和xary都启动成功,没发现错误提示,但无法使用。 1.检查反向代理网址出现 502 Bad Gateway 正常显示应该是 Bad Request 2.检查nginx错误日志 cat /var/log/nginx/error.log 发现错误日志中包含: connect() to 127.0.0.1:8080 failed (13: Permission denied 很明显是没有反向代理权限导致的。 ...
xray——详细使用说明(一)
记录并分享学习安全的知识点..
01-12 6808
一、概述 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助
Xray+具体案例+burp联动(很详细)
huangjun的博客
10-20 2353
一款非常强大的开源工具,可大大提高安全效率,值得学习。
Xray-反连平台搭建
痴人说梦梦中人
05-12 1万+
一、简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。 发包速度快; 漏洞检测算法高效。 支持范围广。 大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。 编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。 通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。 xray 定位为一款安全辅助评估
X-RAY使用方法(一)
hauzhao的博客
06-17 5894
X-RAY是一款完善的安全评估工具,有着很多的有点,之前学长推荐了一下,然后自己去试过之后发现确实很好用,然后就写一下这个工具的使用方法,顺便自己复习一下做个笔记。
关于Xray中代理的一些总结
Fisher
08-19 6558
Xray使用的时候遇到了一些代理问题 在一般的扫描中 为了出现意外情况(可能会封ip或者扫描崩掉)会用代理扫描网站: 1.第一种办法就是直接在**config.yaml**中直接修改代理ip,我这里是将代理改为burp的代理,这样通过burp访问网站,网站数据包以burp为中间人到代理。 一般情况下会将请求设置为200,这样也会防止封ip或者小网站崩掉。 2.第二种就是通过burp的Upstream Proxy Server进行被动扫描配置 这里127.0.0.1:7777 在xray设置被动扫描端口 当
xray windows
09-07
xray是一款辅助评估的扫描工具,不带有攻击,支持Windows操作系统。在安装xray之前,你需要先下载xray的安装包。你可以选择适合你系统的版本进行下载,比如Windows系统可以选择xray_windows_amd64.exe.zip。 安装xray后,你还需要配置代理。如果你使用Microsoft Edge浏览器,你可以在浏览器扩展中搜索并添加一个名为proxy SwitchyOmega的扩展,然后按照指导设置端口号和名称。设置完成后,你可以进入xray安装目录下的命令行,输入启动命令来启动xray。 一旦xray启动,你可以开启监听,并指定监听的地址和端口,例如使用以下命令:xray webscan --listen 127.0.0.1:7777 --html-output test.html。这样,xray就可以自动检测并显示相关的payload。 最后,你可以进入xray的文件夹下,查看生成的报告。请注意,本文仅用于技术交流,切勿用于非法用途。<span class="em">1</span><span class="em">2</span><span class="em">3</span><span class="em">4</span>

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值