渗透测试培训必会工具xray扫描器反连平台的使用(三)

最新推荐文章于 2024-04-30 16:44:46 发布
最新推荐文章于 2024-04-30 16:44:46 发布
阅读量759 收藏 2
点赞数
文章标签: 网络 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/nvhack/article/details/128690758
版权

渗透测试培训必会工具xray扫描器的使用(一)
渗透测试培训必会工具xray扫描器被动扫描的使用(二)

xray反连平台常用于解决没有回显的漏洞探测的情况,最常见的应该属于 ssrf 和 存储型xss。渗透测试人员常用的 xss 平台就是反连平台。 如果你不理解上面这句话,可以先去学习一下这两个漏洞,否则这篇文章也是看不懂的。

在 xray 中,反连平台默认不启用,因为这里面有些配置没有办法自动化,必须由人工配置完成才可使用。需要反连平台才可以检测出来的漏洞包括但不限于:

ssrf
fastjson
s2-052
xxe 盲打
所有依赖反连平台的 poc

配置方法如下:
我们在kalilinux下新建两个文件夹,server和client
在这里插入图片描述
把下载的xray1.9分别复制到这两个目录里,下载地址请去前文(一)中寻找。
我们来配置 config.yaml,顺便在server目录执行 sudo chmod 777 * 给所有文件可写。
在这里插入图片描述

vim ./config.yaml

在这里插入图片描述
修改图中位置,wq保存即可。
然后进入client目录,继续编写配置文件 config.yaml
在这里插入图片描述
在这里插入图片描述
修改图中位置,这里reverse,没用的参数可以删掉。
然后进入server目录,执行命令:

./xray_linux_amd64 reverse

在这里插入图片描述
这就是正常的

然后再进入clinet目录
执行命令:

./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output bihuo.html

在这里插入图片描述
这里的监听地址为本机,端口7777需要我们去设置个浏览器的代理地址。
在这里插入图片描述
使用浏览器访问男黑客靶场xxe漏洞地址:http://www.nanhack.com/payload/xxe/xxe1.php
并查看监听地址变化.
在这里插入图片描述
我们随便提交个几个字符,比如www.nanhack.com
在这里插入图片描述
可以看到监控截图,已经识别到xxe漏洞了。
在这里插入图片描述
我们在访问vulhub的struts-052漏洞。
在这里插入图片描述

必火网络安全培训学院
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
全版本xray漏洞扫描工具
07-02
Xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有xray 漏洞扫描器 和Radium 爬虫工具,均有多名经验丰富的安全开发人员和数万名社区贡献者共同打造而成。
xray工具保姆级的安装与使用教程
weixin_51725318的博客
02-21 1041
xray工具保姆级的安装与使用教程
Xray安装与使用
weixin_50464560的博客
04-23 794
在这里插入图片描述
渗透测试培训必会工具xray扫描器使用(一)
nvhack的专栏
01-14 873
这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。在使用 xray 的过程中只要谨记这个部分,所有的命令行用法就看起来很简单了。了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了 5 个入口,分别是。
全网最新最详细【2024版本】Kali Linux 渗透测试技术大全
logic1001的博客
11-08 548
内容概要:包括 内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…信息足够时,就要想办法找到系统的漏洞,书中介绍了漏洞数据库查询和漏洞扫描工具使用,包括 Nmap、ZAP、xray,以及针对 CMS 系统的漏洞扫描工具。网上虽然也有很多的学习资源,但基本上都残缺不全的,这是我自己录的网安视频教程,上面路线图的每一个知识点,我都有配套的视频讲解。至此,就完成了一次典型的渗透测试过程。
Xray——Windows及Linux安装
网安小白的博客
08-15 2210
X-ray之windows及linux图文安装使用详解~
Xray-反连平台搭建
热门推荐
痴人说梦梦中人
05-12 1万+
一、简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。 发包速度快; 漏洞检测算法高效。 支持范围广。 大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。 编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。 通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。 xray 定位为一款安全辅助评估
xraykali中的安装
weixin_43152809的博客
08-31 7199
xraykali中的安装 xray下载地址:传送门 下载 下载完毕之后在命令行进行解压,解压命令: unzip xray_linux_amd64.zip(ps:输入xra,如果没有前几个字母相同的文件名,单击tab键即可补全) 使用的时候,直接./你解压后的文件名+命令即可 ...
xray反链平台搭建_腾讯云】
weixin_50995890的博客
10-26 386
xray反链平台搭建_腾讯云
渗透测试要学习什么?
01-11 3347
web安全简史、HTTP协议、URL简介、scheme协议、HTTP请求与响应、消息头、HTTP方法、状态码 、burp suite proxy模块的工作原理与使用方法、repeater模块的工作原理与使用方法。①.基础: 计算机硬件组成 、BIOS简介、 启动过程、操作系统类型、操作系统介绍、windows操作系统基本操作命令、Word文档、Excel表格、.PPT演示。②、PHP中相关函数、system、exec、shell exec、passthru、popen、proc popen。
渗透测试-地基篇-Xray安装使用-联动burpsuit自动挖洞(十四)
qq_34801745的博客
11-30 7273
** 渗透测试-地基篇-Xray使用-联动burpsuit(十) ** 作者:大余 时间:2020-11-30 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决
2023xray漏洞测试工具
02-27
2023xray漏洞测试工具
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
安全测试工具xray 版本1.9.4
02-08
安全测试工具xray 版本1.9.4
crawlergo_x_XRAY:crawlergo动态爬虫+长亭XRAY扫描器的被动扫描
01-20
360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理),实现躺着挖洞美梦
沪深websocket level2/level1行情推送接入示例
04-28 460
【代码】沪深websocket level2/level1行情推送接入示例。
实战对抗DDoS攻击
NSME1的博客
04-26 1060
对DDoS的深入理解才能更好的做防护
java线上问题排查之磁盘和网络查看分析(二)
最新发布
wayne_youlu的博客
04-30 276
overflowed 标识全连接队列溢出的次数,最前面是0,标识没有队列溢出的情况,网络环境正常。来查看网络是否连接。如果出现下图内容,则证明网络已经连接。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 218
createWs("测试数据", (res) => {
漏扫工具xray下载
09-07
漏扫工具xray是一款专业的Web应用漏洞扫描器,可以帮助开发人员和安全研究人员识别并修补Web应用程序中的漏洞。下面是关于xray如何下载的相关信息。 首先,你可以通过访问xray官方网站来下载xray漏扫工具。在官网的下载页面上,你可以找到最新版本的xray漏扫工具。选择适合你操作系统的版本,比如Windows、Linux或者MacOS,并点击下载按钮。 另外,xray也提供了一个开源社区版本,可以在GitHub上找到。你可以在GitHub的xray项目页面上找到源代码和发布的版本。如果你是一个开发人员或安全研究人员,你可以从这里下载源代码,并根据自己的需求进行自定义编译和安装。 无论你选择哪种方式进行下载,记得要确保从正规渠道下载,避免下载到捆绑有恶意软件的假冒版本。 下载完成后,你可以按照官方提供的安装指南进行安装和配置。通常,你需要解压下载的文件,并按照文档中的说明进行配置和设置。确保你已经按照要求安装了必要的依赖项和运行环境。 完成安装和配置后,你就可以使用xray来进行漏洞扫描了。通过命令行或图形界面工具,你可以输入目标URL或IP,并选择扫描策略和漏洞类型。然后,xray将自动进行漏洞扫描,并生成扫描报告,指出潜在的漏洞和脆弱点。 总之,xray是一款功能强大的漏洞扫描工具,通过正规渠道下载并按照官方指南进行安装和配置,你就可以充分利用它来提高Web应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值