【漏洞挖掘】Xray+rad自动化批量漏洞挖掘

最新推荐文章于 2024-05-25 11:21:54 发布
最新推荐文章于 2024-05-25 11:21:54 发布
阅读量2.7k 收藏 17
点赞数 4
分类专栏: 工具 OWASP TOP10 文章标签: web安全 漏洞挖掘 src 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39583774/article/details/131999959
版权

文章目录

前言

自动化漏洞挖掘是指利用计算机程序和工具来扫描、分析和检测应用程序、网络和系统中的安全漏洞的过程。这种方法可以帮助安全专家和研究人员更高效地发现和修复潜在的安全威胁,从而提高整体系统的安全性。注意:一切未授权挖掘属于违法行为

提示:以下是本篇文章正文内容,下面案例可供参考

一、挖掘方法

配置Xray被动扫描:

  • 确保Xray安装并正确配置。Xray是一款强大的漏洞扫描工具,可用于主动和被动扫描。
  • 在被动扫描模式下,Xray会监听并分析应用程序的流量,检测可能的漏洞。
  • 配置Xray的被动扫描代理,使其能够拦截和分析网络流量。

使用RAD进行爬虫功能:

  • RAD(Reconnaissance and Discovery)是一款用于信息搜集和爬虫功能的工具。
    使用RAD来识别目标应用程序的URL和端点,并收集有关目标的信息。

二、使用步骤

这里使用xary-gui项目简单挖掘:
项目地址:https://stack.chaitin.com/tool/detail?id=88
在这里插入图片描述

工具安装

在这里插入图片描述

使用方法

主要使用xary+rad做挖掘,这里直接下载:
在这里插入图片描述
下载完成后选择xary:
在这里插入图片描述
完成后选择开启被动监听:
在这里插入图片描述
选择下载rad的位置:在这里插入图片描述
将目标写成入url.txt:
在这里插入图片描述

开始挖掘

在外部直接使用rad爬取:
在这里插入图片描述
在这里插入图片描述
现在就可以放着挂机就行,当然你想快速挖掘需要做一些xary的配置,可以更快的扫描。

总结

提示:这里对文章进行总结:

更多使用可以查看:https://docs.xray.cool/#/tutorial/introduce
我的推荐使用awvs联动xary可以全面的做漏洞扫描。

0x717866
关注
  • 4
    点赞
  • 17
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
渗透实战-通过fofa+rad+xray批量挖掘src
beirry的博客
10-23 1883
这篇文章主要是实现通过fofa来收集资产信息,将信息传递给radxray来进行挖掘src
漏洞挖掘fofa+xray
09-25
《利用fofa与xray进行漏洞挖掘批量扫描安全检测》 在网络安全领域,漏洞挖掘是一项至关重要的工作,它能帮助我们发现并修复系统中的安全隐患,防止恶意攻击的发生。本文将详细介绍如何利用fofa搜索引擎和xray...
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
xray自动化扫描工具批量扫描
最新发布
violated的博客
05-25 374
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
Xray联动RAD实现自动扫描教程
wutiangui的博客
10-22 731
注意如果是本地的靶场,不要用http://127.0.0.1,而是用http://192.168.xxx.xxx不然没数据的。可以看出用这种方法还是比较稳定高效的,个人觉得比xray+crawlergo的方式好,后续再做个批量子域名自动扫描的。xray下载地址:https://github.com/chaitin/xrayRad下载地址:https://github.com/chaitin/rad。启动后xray能自动抓取rad送过来的链接并对其扫描
(2022最新)XrayRad两款工具的使用与联动
qq1140037586的博客
12-14 7187
rad高速爬虫代理代理给xray实现快速扫描、爬虫是xray的弱项,通过rad便可以实现更高效的扫描
如何利用pppxray进行批量漏洞扫描
Misread的博客
12-16 329
输入 python .\pppXray.py -r target.txt回车。访问这个网站可能进不去,一个小技巧:在github后面加上fast即。下载xray并配置好之后找到对应的位置添加到系统环境变量中。2.需要python3环境在哪下载哪里都有安装教程。下载完之后直接把文件跟xray放在一个文件里去。想扫描几个网站就添加几个url。根据自己得电脑下载所需安装包。在当下目录输入cmd。
1、xray常用命令
m0_69931798的博客
10-10 517
单个网站扫描xray.exe webscan --basic-crawler url(测试) --html-output 2.html(生成报告名字)与BP联动扫描xray.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html。脚本批量扫描:python xray.py。请下载的时候选择最新的版本下载。
xray与burp/rad联动
热门推荐
good good study
03-17 1万+
一. 介绍 xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 xray经常用来与burp联动进行被动式扫描,在进行内网web渗透的时候,能大大提高渗透效率。 二. 使用方法 1....
XrayRad联动
ran的博客
03-05 516
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html (监听自己本机的7777端口,然后扫描之后的结果保存到html文件中。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件,可以加--html-output参数把输出到指定的html中。检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045、s2-059、s2-061等常见漏洞。检测ThinkPHP开发的网站的相关漏洞。
5款漏洞挖掘扫描工具,网安人必备!
shandongjiushen的博客
10-14 6734
网安人想挖漏洞赚钱,没有趁手的工具怎么行呢?
漏洞挖掘进化论-推开xray之门.pdf
08-08
漏洞挖掘的进化是从人工到自动化的过程 漏洞挖掘之JSONP自动化 JSONP检测-正则升级之路 漏洞挖掘自动化依赖于优秀的检测算法 JSONP检测 - 语义分析 自动化检测既靠质量也靠数量 Web POC 是如何工作的 xray 面临的...
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
Java反序列化漏洞自动挖掘方法 macOS从运行库劫持到内核提权 MTK安全启动大剖析.CIS大会分论 MyBatis框架下SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞...
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4251
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
工具联动xray
siu~
08-28 458
xray有多强,懂的都懂,本文介绍一些常用工具联动xray进行漏扫。
AWVS+Xray+SqlMap
08-09
回答: AWVS, Xray和SqlMap是一些常用的网络安全工具。AWVS是指Acunetix Web Vulnerability Scanner,它用于对Web应用程序进行漏洞扫描Xray是一个用于Web漏洞扫描和渗透测试的工具,它可以与Burp Suite一起使用。而SqlMap是一款自动化SQL注入工具,用于检测和利用SQL注入漏洞。这些工具在进行网络安全测试时可以提供帮助,并帮助发现可能存在的安全漏洞。 [2 请注意,这些工具的使用需要谨慎,因为错误的使用可能导致意外的结果和对目标系统的损害。在使用这些工具之前,请确保您有合法的授权,并遵循适当的道德和法律规范。 [3

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x717866

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值