漏扫工具Xray安装部署详细教程

已于 2025-01-23 17:33:02 修改
阅读量2.5k 收藏 35
点赞数 7
分类专栏: 工具的部署与使用 文章标签: 安全 网络安全 python 网络
于 2024-03-22 21:05:08 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73896875/article/details/136951872
版权
本文详细介绍了如何在Windows上安装和部署Xray漏洞扫描工具,包括主动扫描(基于爬虫的网页目录扫描)和被动扫描(作为代理检测漏洞)。还涉及了证书生成、浏览器代理设置以及配置文件的使用以减少误扫。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Xray漏扫安装与部署

前往官网找到相应版本进行下载

https://stack.chaitin.com/tool/detail/1

例如博主是windows64位操作系统则选择amd64

下载解压完成后发现只有一个相应的.exe文件,这时还没初始化,直接在该文件夹打开cmd执行该文件(注意不要双击执行)会发现出现一行红字,初始化完成

再次打开文件夹会发现多出几个配置文件 ,到此xray已经可以使用主动扫描了

主动扫描原理:

基于爬虫模式去模拟人工点击网页链接,爬取网页目录,实现web扫描。

主动扫描命令:

xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ --html-output test1.html


#xray_windows_amd64.exe是调用的xray程序
#http://testphp.vulnweb.com/是扫描的目标网址
#--html是输出的格式
#test1.html是输出文件的名称

扫描结果将会输出在文件夹下

被动扫描

原理:将Xary代理在客户端与服务器之间,Xray作为中间代理获取请求和返回包进行修改重发测试(攻击特征不明显,不易被目标防护设备发现)

被动扫描需要在浏览器安装Xray证书

使用genca命令生成Xray证书,可以看到文件夹内多了一个ca证书

接下来在浏览器导入证书,这里以Firefox为例

设置->隐私与安全->查看证书->导入->信任此证书颁发机构来标识的网站->确定

接下来启用代理扫描

命令

xray_windows_amd64.exe webscan --listen 127.0.0.1:9258 --html-output test2.html

#xray_windows_amd64.exe
#webscan
#--listen 127.0.0.1:9258 监听127.0.0.1的7070端口(127.0.0.1是本机回环地址,端口可以任意一个空闲端口)

开始监听后配置我们浏览器的代理为Xray的同样端口

即可开始点哪扫哪

但是由于该扫描模式下在配置代理的浏览器内是无论点到什么页面都会扫描的,容易产生误扫

可以在配置文件config.yaml中的hostname_allowed配置允许扫描的网站,如下图就是只允许访问www.localhost.com

最新版web工具AppScan\AWVS\Xray安装及使用教程
Cwillchris的博客
07-27 1172
这就是被动描,被动描需要你人工访问web页面,然后在页面上提交各种参数,xray会帮你把所有的参数进行测试是否存在问题,爬虫自动描在没有爬到页面中的表单以及参数信息时就不会进行对应的测试。所以被动描可能更适合我们对网站进行测试,需要注意的是请勿在可能对目标服务器造成不可逆的影响的位置进行测试,比如删除某个资源文件的请求。本次洞源于SMBv3没有正确处理压缩的数据包,在解压数据包的时候使用客户端传过来的长度进行解压时,并没有检查长度是否合法,最终导致整数溢出。...
centos 部署 xray 描器
SHELLCODE_8BIT的博客
09-20 683
html 输出格式,也可以指定 --json-output、--text-output,后面的输出文件名如果包含__timestamp__ 或 __datetime__ 将自动替换为实际值。检测目标网站是否存在Struts2系列洞,包括s2-016、s2-032、s2-045、s2-059、s2-061等常见洞。检测 HTTP 头注入,支持 query、body 等位置的参数。检测低 SSL 版本、缺失的或错误添加的 http 头等。ssrf 检测模块,支持常见的绕过技术和反连平台检测。
Xray-install:安装和升级Xray的最简单方法
03-20
X射线安装 用于在支持systemd的操作系统(例如CentOS / Debian / OpenSUSE)中安装Xray的Bash脚本。 installed: /etc/systemd/system/xray.service installed: /etc/systemd/system/xray@.service installed: /usr/local/bin/xray installed: /usr/local/etc/xray/*.json installed: /usr/local/share/xray/geoip.dat installed: /usr/local/share/xray/geosite.dat installed: /var/log/xray/access.log installed: /var/log/xray/error.log 注意:默认情况下,Xray
Web工具Xray:长亭自研的完善安全评估工具详解
最新发布
Java程序员_编程开发学习笔记_网站安全运维教程_渗透技术教程
04-04 1130
Xray是长亭科技自主研发的一款完善的安全评估工具,专注于Web应用安全检测。它支持对常见Web安全问题进行自动化描,并提供了强大的自定义POC(Proof of Concept)功能,能够根据用户需求扩展检测能力。
Xray安装与使用(超详细
热门推荐
qq_45157535的博客
02-22 4万+
本文章主要描述了Xray工具安装与使用,超详细版本。
xray描利器
zkaqlaoniao的博客
11-07 7448
长亭科技旗下的一款网络安全工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
【渗透工具xray安装与使用教程
qq_39972370的博客
03-20 5701
xray 是一款功能强大的安全评估工具,主要用于web安全描器。
xray安装及使用
m0_59098212的博客
11-02 1547
xray工具使用,与其他工具联用,后续更新
记录Awvs-scan工具的使用
梦想成为一名优秀的测开人员
04-25 582
二、 浏览器输入ip+13443启动登录页,启动页如下。云服务器部署可能会遇到无法访问的问题,将http改为https试试。4.运行change_credentials.sh,先输入账号再输入密码即可重置密码。3.输入cd /home/acunetix/.acunetix/。1.先查容器id,如下图容器id为60a53359d4bd。三、先在设置将语言改为中文(实际上只能部分功能显示中文)。问题一: 关于更改管理员密码后忘记,重置密码的问题。参考此地址,使用docker直接部署。一、使用docker部署
自动化描系统-info_scan
weixin_42487326的博客
07-21 1511
自动化描系统-info_scan
#渗透测试#红蓝攻防#HW#经验分享#溯源反制
soc的博客
11-27 861
1、了解防守单位的网络拓扑,了解网络地址的分配和网络策略的要求;2、了解哪些设备用于安全防护:哪些厂家的流量分析设备,这些设备有什么特点能有什么效果,在溯源反制的时候能获取到哪些信息;3、了解内网IP地址的分布和走向:要了解安全设备接入的位置,镜像了哪部分流量,是否包含办公网等等(例如:设备是否为全流量设备,是否可以看到req与resp的流量信息等等);4、了解该单位的正常的业务功能,用于误报流量的筛选(sso登录、网上办理、域等等);
红队专题-洞挖掘-代码审计-CSRF/SSRF/Xss
aming小老弟
03-11 1058
其中 Web A 为存在 CSRF 洞的网站,Web B 为攻击者构建的恶意网站,User C 为 Web A 网站的合法用户。用户 C 打开浏览器,访问受信任网站 A,输入用户名和密码请求登录网站A在用户信息通过验证后,网站 A 产生 Cookie 信息并返回给浏览器,此时用户登录网站 A 成功,可以正常发送请求到网站A用户未退出网站 A 之前,在同一浏览器中,打开一个 TAB 页访问网站 B网站 B 接收到用户请求后,返回一些攻击性代码,并发出一个请求要求访问第三方站点 A。
Xray安装与使用基础
Salois的博客
12-19 2427
官方使用指南:https://docs.xray.cool/#/tutorial/introduce。下载地址:https://stack.chaitin.com/tool/detail/1。选择将所有证书放入下列存储→受信任的根证书颁发机构,点击确定,即可完成证书导入。可新建情景模式,输入代理服务器ip,端口号设置平常不使用的,如7777。打开浏览器代理,代理开启后xray会监听在此界面的网页。将生成的证书添加到浏览器中,点击设置→隐私→管理证书。进入cmd,先cd到xray目录下,然后再运行。
xray安装及使用_xray下载安装教程,15分钟的字节跳动视频面试
uiuuyy67的博客
04-15 1532
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。说明:Xray监听本地的8080端口,结果通过html格式输出,该模式的好吃就是通过人为手动点击需要描的URL,相比前面两种描方式,描准确度更好,更多适用于手工渗透测试场景。说明:(在描前会先进行基础爬虫爬取页面,相比来源处理一单个URL,会先对提供的URL进行爬虫描,描链接更多,描也更全面)
xray工具学习。
qq_51241304的博客
05-13 1295
经过一下午的配置学习,总结一下。 本文主要记录一下自己的学习过程,文章仅供学习交流技术,切勿用于非法用途。学校和政府的网站切记不要碰。 1、xray的下载:如果有想要安装包的可以点个赞私信我,或者也可以去github下载。 2、xray配置:下载后解压到桌面,用cmd打开该文件,打开后需要产生证书才能用,产生证书命令: .\xray_windows_386.exe genca 产生证书后打开,导入到受信任的根证书颁发机构 导入成功后就可以使用了。 3、xray的使用方法:它有两种经常使用的方法,一是可以直接
xray安装及使用(入门)
m0_55096665的博客
08-05 4695
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
xray的使用&实现自动
永远都没有了
04-25 1745
一次记录工具的简单使用
Xray使用教程
qq_45955869的博客
05-29 972
设置浏览器 http 代理为http://127.0.0.1:7777,然后使用浏览器访问网页,就可以自动分析代理流量并描。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次描启用的插件。–html-output 输出html格式。–basic-crawler 基础爬虫。webscan web页面的洞检测。webscan web页面描。选择64位的安装文件。–listen 监听。
网安学习路线!最详细没有之一!看了这么多分享网安学习路线的一个详细的都没有!
2401_84618514的博客
06-18 820
网络安全产业就像一个江湖,各色人等聚集。相对于欧美国家基础扎实(懂加密、会防护、能挖洞、擅工程)的众多名门正派,我国的人才更多的属于旁门左道(很多白帽子可能会不服气),因此在未来的人才培养和建设上,需要调整结构,鼓励更多的人去做“正向”的、结合“业务”与“数据”、“自动化”的“体系、建设”,才能解人才之渴,真正的为社会全面互联网化提供安全保障。
工具xray下载
09-07
工具xray是一款专业的Web应用描器,可以帮助开发人员和安全研究人员识别并修补Web应用程序中的洞。下面是关于xray如何下载的相关信息。 首先,你可以通过访问xray官方网站来下载xray工具。在官网的下载页面上,你可以找到最新版本的xray工具。选择适合你操作系统的版本,比如Windows、Linux或者MacOS,并点击下载按钮。 另外,xray也提供了一个开源社区版本,可以在GitHub上找到。你可以在GitHub的xray项目页面上找到源代码和发布的版本。如果你是一个开发人员或安全研究人员,你可以从这里下载源代码,并根据自己的需求进行自定义编译和安装。 无论你选择哪种方式进行下载,记得要确保从正规渠道下载,避免下载到捆绑有恶意软件的假冒版本。 下载完成后,你可以按照官方提供的安装指南进行安装和配置。通常,你需要解压下载的文件,并按照文档中的说明进行配置和设置。确保你已经按照要求安装了必要的依赖项和运行环境。 完成安装和配置后,你就可以使用xray来进行描了。通过命令行或图形界面工具,你可以输入目标URL或IP,并选择描策略和洞类型。然后,xray将自动进行描,并生成描报告,指出潜在的洞和脆弱点。 总之,xray是一款功能强大的工具,通过正规渠道下载并按照官方指南进行安装和配置,你就可以充分利用它来提高Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值