xray漏洞扫描工具 详细用法

于 2024-04-21 00:48:00 发布
阅读量2.2k 收藏 20
点赞数 21
分类专栏: 工具使用教学 文章标签: web安全 网络安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_69043895/article/details/138016305
版权
Xray是一款由安全专家开发的安全辅助评估工具,具备快速检测、广泛支持、高质量代码和高级定制等特点。它支持多种漏洞检测,如XSS、SQL注入等,且提供POC框架和GUI启动器。非开源,但可通过社区和下载站点获取。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

工具介绍
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
●检测速度快。发包速度快; 漏洞检测算法效率高。
●支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
●代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
●高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以客制化功能。
●安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:
●XSS漏洞检测 (key: xss)
●SQL 注入检测 (key: sqldet)
●命令/代码注入检测 (key: cmd-injection)
●目录枚举 (key: dirscan)
●路径穿越检测 (key: path-traversal)
●XML 实体注入检测 (key: xxe)
●文件上传检测 (key: upload)
●弱口令检测 (key: brute-force)
●jsonp 检测 (key: jsonp)
●ssrf 检测 (key: ssrf)
●基线检查 (key: baseline)
●任意跳转检测 (key: redirect)
●CRLF 注入 (key: crlf-injection)
●Struts2 系列漏洞检测 (高级版,key: struts)
●Thinkphp系列漏洞检测 (高级版,key: thinkphp)
●XStream 系列漏洞检测 (key: xstream)
●POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
注意:xray 不开源,直接下载构建的二进制文件即可,仓库内主要为社区贡献的 poc,每次 xray 发布将自动打包。

下载安装

项目地址:https://github.com/chaitin/xray
releases:https://github.com/chaitin/xray/releases
工具社区:https://stack.chaitin.com/tool/detail/1

●Github: Releases · chaitin/xray · GitHub (国外速度快)
●CT stack: CT Stack 安全社区 (国内速度快)

高级破解版本:https://github.com/NHPT/Xray_Cracked/releases
版本:1.9.11/eb0c331d/社区

姓名:
    xray - 强大的扫描仪引擎 [https://docs.xray.cool]

用法:
     [全局选项] 命令 [命令选项] [参数...]

命令:
    webscan, ws 运行 webscan 任务
    servicescan, ss 运行服务扫描任务
    subdomain, sd 运行子域任务
    poclint, pl, lint lint yaml poc
    burp-gamma, btg 将burp历史代理记录的导出文件转换为POC格式
    transform   将其他脚本转换为 gamma
    reverse 运行独立的反向服务器
    convert 将结果从 json 转换为 html 或从 html 转换为 json
    genca GenerateToFileCA证书和密钥
    upgrade 升级检查新版本并自行升级(如果发现任何更新)
    version 显示版本信息
    x 启用所有插件的命令。
您可以自定义新命令或修改配置文件中命令启用的插件。
    help, h 显示命令列表或一个命令的帮助

全局选项:
    --config FILE 从文件加载配置(默认值:“config.yaml”)
    --log-level value 日志级别,选择有debug、info、warn、error、fatal
    --help, -h 显示帮助

使用示例

官网使用WIKI:https://docs.xray.cool/#/

被动代理模式

./xray_linux_386 webscan --listen 127.0.0.1:7777 --html-output xray-192.168.31.199.html

POC辅助

规则实验室 - XRAY

XRAY的GUI启动器

项目地址:https://github.com/4ra1n/super-xray

使用前提:
●本地有JRE/JDK 8+环境(如果使用内置JRE的exe版本消耗Java环境)
●使用java -jar SuperXray.jar启动(在Windows中上部启动会有权限问题)
●前往ctstackxray下载站下载最新版本xray(本工具也有内置一键下载面板)

评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

nuc_ddddsj

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值