白帽子挖洞第II篇作业--xray+fofa主动扫描

最新推荐文章于 2024-05-25 11:21:54 发布
最新推荐文章于 2024-05-25 11:21:54 发布
阅读量1.7k 收藏 7
点赞数
文章标签: python 挖洞 白帽子
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_29437513/article/details/121248422
版权
本文介绍了如何利用fofa2xray结合fofa的API和xray进行白帽子挖洞。在实践中遇到API数据返回问题,通过fofa-GUI导出资产,再用xray主动扫描提升效率。文中分享了主动扫描命令,并提醒即使无明显结果,批量扫描对于发现SRC漏洞仍很重要。同时,推荐了解决Python路径报错的方法。
摘要由CSDN通过智能技术生成

在去年到今年期间,出现了fofa2xray这样通过调用fofa的api,配合xray的被动扫描,实现挖洞。
本人有幸花了点时间搭好环境,但在确定api已经调用成功后,发现无法返还数据,如图
在这里插入图片描述

得出的结果:也许只有开发者的脚本只有开发者才能调用。
看了fofa2xray的config源码后产生构想
简陋的源码,能不能自己通过fofa-gui导出结果然后xray扫描呢?
在这里插入图片描述

网上找了一下,发现真的有大佬想到一块了,

https://cloud.tencent.com/developer/article/1759224

xray的主动扫描在1.7以后结果相对之前效率高很多,
执行命令:

最低0.47元/天 解锁文章
ECHO::
关注
  • 0
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
渗透实战-通过fofa+rad+xray批量挖掘src
beirry的博客
10-23 1875
文章主要是实现通过fofa来收集资产信息,将信息传递给rad,xray来进行挖掘src。
fofa2Xray:用户fofa API获取主机并进行X射线扫描以进行WebScan
04-16
fofa2Xray 一个工具,可以结合和的自动批量多线程扫描。 也可以使用Xray扫描IP /域名列表。 适用于Windows,Linux和macOS的golang编码。 文献资料 介绍 使用fofa api获取目标域列表,然后通过xray进行网络扫描。 演示版 文件模式快速入门 1.在f2Xconfig.yaml中配置Xray可执行文件地址和线程数 2.使用“ -t文件”指定为文件列表扫描模式(默认为fofa模式),-f指定IP列表文件 ./fofa2Xray -t file -f ipList.txt 3.也许有点奇怪,但是为了更好的可扩展性 Fofa模式快速入门 将Xray移至fofa2xray所在的目录 Vi f2Xconfig.yaml fofa : email : {fofa账户} key : {fofaKey} # 固定查询语句 fixedQ
Xray扫描
weixin_55129870的博客
07-04 3713
双击xray会生成config.yaml配置文件,对配置文件进行配置在33行添加cookie 在此处输入pikachu登入的cookie 修改153行,添加如下内容,出去登入难度修改等页面,删除括号 主动扫描主动扫描xray 通过爬虫模拟用户点击操作进行扫描 被动扫描:实现radium爬行+xray扫描radium下载地址:Releases · chaitin/rad · GitHubhttps://github.com/chaitin/rad/releasesxray开启代理监听
xray自动化扫描工具批量化扫描
最新发布
violated的博客
05-25 349
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
Xray扫描器使用联动 burp,以及结合 fofa 批量自动化挖洞
热门推荐
Love&Share
04-02 1万+
xray简介 xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 特点 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4149
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
rad-xray:xray+rad批量主动扫描
05-03
rad-xrayxray+rad批量主动扫描Usage:社区版用户url一行一个放url.txt中,和rad放同文件夹xray开启监听,./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html运行pypython3 rad+xray.py...
Xray-yes:Xray安装脚本Xray安装脚本(VLESS + tcp + xtls)
03-07
又一个安装Xray的shell脚本VLESS TCP XTLS + NGINX需要root权限Xray回落到nginx,nginx作为布局,放置一个静态网站使用一致bash -c "$(curl -L git.io/xray-yes)"安装bash -c "$(curl -L git.io/xray-yes)" - ...
Xray脚本:(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web构造管理脚本
02-11
Xray-TLS + Web构建/管理脚本目录脚本特性支持(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web集成多版本bbr /锐速安装选项支持多种系统(Ubuntu CentOS Debian deeped fedora ...)支持多种指令集(x86 x86_64 ...
laravel-view-xray:看一下您的Laravel视图
02-03
X射线-看一下Laravel视图 ...您可以通过将名为XRAY_ENABLED的环境变量设置为false来禁用Xray。 排除景观 如果要排除某些视图无法被Xray处理,可以通过将其添加到配置文件中来实现。 使用以下方法发布配置文件: ...
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 ...
Fofa-gui fofa快速采集工具
01-19
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
XRAY 使用方法归纳
weixin_68177269的博客
11-29 1796
打开webscan功能扫描web漏洞,同时监听本机7891端口目的是与burp结合。在浏览器管理证书选项-受信任的根证书颁发机构中导入该证书。(命令中的网址可以是ip地址,也可以是域名地址)第一次实现扫描功能需要将生成的证书导入到浏览器。使用基础爬虫爬取,并对爬取连接进行漏洞扫描。运行该命令之后,会在目录下生成一个证书。之后就会在该目录生成漏洞信息的文件。打开xray所在目录,打开终端。二、被动扫描(与burp结合)1.打开端口监听,导入证书。同样在终端中输入命令。
Xray 安装与使用心得
diaobusi的博客
06-14 4618
存中…(img-kZZrq75U-1686719487446)]在burp suite上配置好我们刚才在xary设置的Ip和端口,点击run运行[外链图片转存中…(img-e9HVVsk2-1686719487447)]当我们访问我自己的靶机的时候,xray的被动扫描就已经开始了[外链图片转存中…(img-rpL1taDX-1686719487447)]已经被动扫描到多条漏洞,我们在看看保存的文件有哪些内容[外链图片转存中…(img-x9GGihkP-1686719487447)]
Xray 漏洞扫描工具使用方法
lza20001103的博客
08-28 2478
Xray 漏洞扫描工具使用方法 文章目录Xray 漏洞扫描工具使用方法 申明:本文内容均在内网中进行,实验环境为自己服务器所搭建的DVWA靶场。 使用XRAY进行主动扫描和被动扫描(window) 下载地址:Github: https://github.com/chaitin/xray/releases 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析。 1.1解压xray只发现一个exe文件,输入po
xrayfofa联动(附脚本)
xxx9686的博客
09-17 685
fofa结果导出过程中,fofa的导出结果是很不规整的,有的前面有http有的前面没有所以在写脚本过程中我们判断前面是否存在http或https如果没有的话那就给他进行添加导出保存在文件里面。在最后使用--html-output作为导出结果即可。
Xray正向及反向漏洞检测
m0_55854679的博客
12-25 1978
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。全程使用无害 POC 进行探测,在确保能发现漏洞的基础上不会给业务带来严重影响,非常适用于企业内部安全建设;命令行式的免费被动扫描工具;
Xray安装和使用过程
m0_74783537的博客
10-25 551
xray社区版漏洞扫描器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
Xray和AWVS联动实现主动扫描
震山的博客
08-20 3837
利用 Xray 和 AWVS 实现主动扫描
xray-vless+tcp+xtls
09-03
xray-vless是一种TCP协议的加密传输方式,而xtls是xray-vless在传输层上提供的增强安全性的选项。 xray-vless通过对TCP连接进行加密,保证了数据在传输过程中的安全性和私密性。它采用了先进的加密算法,如TLS 1.3,以防止数据被窃听、篡改和劫持。通过加密,xray-vless可以保护用户的隐私和敏感信息,确保用户与服务器之间的通信不被第三方所截取或解读。 而xtls则是基于xray-vless的进一步改进,它提供了更高级的安全性和匿名性。它在传输层上引入了传输层安全(TLS)的握手过程,使通信双方的身份验证更加严格,同时还包括了传输层的加密和认证,增加了攻击的难度。这使得xray-vless在xtls的保护下,更加安全可靠。 xray-vless和xtls结合使用,在网络传输中提供了一种高度安全的解决方案。对于需要使用TCP协议进行传输,并且对通信安全性有较高要求的应用场景,xray-vless和xtls是非常理想的选择。无论是保护个人隐私,还是保护企业机密信息,它们都能提供可靠的加密传输,保证数据的保密性和完整性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

ECHO::

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值