【漏洞挖掘】Xray+rad自动化批量漏洞挖掘

最新推荐文章于 2024-06-24 10:15:48 发布
最新推荐文章于 2024-06-24 10:15:48 发布
阅读量2.7k 收藏 18
点赞数 4
分类专栏: 工具 OWASP TOP10 文章标签: web安全 漏洞挖掘 src 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_39583774/article/details/131999959
版权

文章目录

前言

自动化漏洞挖掘是指利用计算机程序和工具来扫描、分析和检测应用程序、网络和系统中的安全漏洞的过程。这种方法可以帮助安全专家和研究人员更高效地发现和修复潜在的安全威胁,从而提高整体系统的安全性。注意:一切未授权挖掘属于违法行为

提示:以下是本篇文章正文内容,下面案例可供参考

一、挖掘方法

配置Xray被动扫描:

  • 确保Xray安装并正确配置。Xray是一款强大的漏洞扫描工具,可用于主动和被动扫描。
  • 在被动扫描模式下,Xray会监听并分析应用程序的流量,检测可能的漏洞。
  • 配置Xray的被动扫描代理,使其能够拦截和分析网络流量。

使用RAD进行爬虫功能:

  • RAD(Reconnaissance and Discovery)是一款用于信息搜集和爬虫功能的工具。
    使用RAD来识别目标应用程序的URL和端点,并收集有关目标的信息。

二、使用步骤

这里使用xary-gui项目简单挖掘:
项目地址:https://stack.chaitin.com/tool/detail?id=88
在这里插入图片描述

工具安装

在这里插入图片描述

使用方法

主要使用xary+rad做挖掘,这里直接下载:
在这里插入图片描述
下载完成后选择xary:
在这里插入图片描述
完成后选择开启被动监听:
在这里插入图片描述
选择下载rad的位置:在这里插入图片描述
将目标写成入url.txt:
在这里插入图片描述

开始挖掘

在外部直接使用rad爬取:
在这里插入图片描述
在这里插入图片描述
现在就可以放着挂机就行,当然你想快速挖掘需要做一些xary的配置,可以更快的扫描。

总结

提示:这里对文章进行总结:

更多使用可以查看:https://docs.xray.cool/#/tutorial/introduce
我的推荐使用awvs联动xary可以全面的做漏洞扫描。

0x717866
关注
  • 4
    点赞
  • 18
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
漏洞挖掘fofa+xray
09-25
fofa+xray批量刷洞脚本,非常有用,fofa+xray批量刷洞脚本敬请期待特别好,fofa+xray批量刷洞脚本
Android App半自动化静态漏洞挖掘技术分析
最新发布
键盘的起始页
06-24 85
这款工具是现在很多Android静态分析工具的核心,它会分析dex并完全解析其中的类、方法,生成相关的Python类,在Androguard分析完后,某个类/方法调用了谁,谁调用了它,全都保留在内存里。如果编写漏洞挖掘工具的成本是人工审计加脚本挖掘的几倍甚至几十倍,那也就没有编写漏洞扫描器的意义了(如果是商业扫描器,或者企业内部的扫描器,自然有必要解决这个问题)。2021年7月,在编写『基于文本匹配的半自动化漏洞扫描器』时,我们想到可以结合这两个扫描器,将他们的优势互补,便可很大程度弥补各自的缺陷。
xray工具使用
huangyongkang666的博客
03-22 5086
xray工具使用 1.基本使用 Linux / Mac用户在终端(终端)运行,Windows用户请在Powershell或其他高级Shell中运行 查看 xray 的版本号。 .\xray_windows_amd64.exe version 使用基础爬虫爬取并对爬虫爬取的链接进行漏洞扫描xray webscan --basic-crawler http://example.com --html-output xxx.html (--html-output:输出到 HTML 文件中) 使用 HTT
Xray联动RAD实现自动扫描教程
wutiangui的博客
10-22 736
注意如果是本地的靶场,不要用http://127.0.0.1,而是用http://192.168.xxx.xxx不然没数据的。可以看出用这种方法还是比较稳定高效的,个人觉得比xray+crawlergo的方式好,后续再做个批量子域名自动扫描的。xray下载地址:https://github.com/chaitin/xrayRad下载地址:https://github.com/chaitin/rad。启动后xray能自动抓取rad送过来的链接并对其扫描
实战|自动化批量SRC漏洞
2301_76168381的博客
04-03 1029
自动化批量挖漏洞原理是将目标资产让爬虫工具爬取,把数据通过burp发送给xray进行漏洞扫描
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
xray批量扫描url
热门推荐
qq_42404383的博客
12-16 1万+
xray批量扫描url **思路:**从txt文本文档中按序导出url,写好系统命令后用python来依次执行命令,并生成报告到xray根目录。 示例: 代码: #author: 想学点black技术 #用法: 在bat.py的同目录下生成xray_url.txt,根据自己的需求更改scan_command即可 #time: 2020年12月16日20:27:40 #环境: python3 #说明: command中的xray路径需要手动修改,报告生成的位置在同一目录下 import os impo
xray常用命令
山兔的博客
05-26 2741
python xray.py
1、xray常用命令
m0_69931798的博客
10-10 539
单个网站扫描xray.exe webscan --basic-crawler url(测试) --html-output 2.html(生成报告名字)与BP联动扫描xray.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html。脚本批量扫描:python xray.py。请下载的时候选择最新的版本下载。
xray自动化扫描工具批量扫描
violated的博客
05-25 435
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay是长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴进去(一行一个url) 3、执行python脚本 python3 xray单线程批量检测.py
pppXray:Xray批量化自动扫描
05-12
pppXray 作用: Xray批量化自动扫描 使用方法: 一,在target.txt里按行放置待扫描URL,如图: 二,将Xray所在文件夹配置到电脑环境变量里 三,然后运行pppXray.py即可 运行截图: 关于 2021/2/20更新 添加命令行参数与自定义xray插件用法,可通过 --help查看 -r,--readfile参数指定批量读取文件名,默认文件名为target.txt --plugins参数指定xray插件 如图: 输入 python3 pppXray.py --plugins cmd_injection -r target.txt,使用注入插件进行检测 2021/5/5更新 看到了黑白某道的公众号文章,这么菜的脚本也能水文章了,xs 但为了方便初学安全的小伙伴更方便使用xray,参考之前的经验,在脚本中兼容专业版和社区版,以及添加分类的功能,大伙儿就不用点开每个漏洞
漏洞挖掘进化论-推开xray之门.pdf
08-08
漏洞挖掘的进化是从人工到自动化的过程 漏洞挖掘之JSONP自动化 JSONP检测-正则升级之路 漏洞挖掘自动化依赖于优秀的检测算法 JSONP检测 - 语义分析 自动化检测既靠质量也靠数量 Web POC 是如何工作的 xray 面临的...
【推荐】网络安全中的漏洞挖掘实践合集.zip
09-03
Java反序列化漏洞自动挖掘方法 macOS从运行库劫持到内核提权 MTK安全启动大剖析.CIS大会分论 MyBatis框架下SQL注入解决方案 Qemu-kvm和ESXi虚拟机逃逸实例分享 WEB常见漏洞与挖掘技巧研究 Web漏洞...
渗透实战-通过fofa+rad+xray批量挖掘src
beirry的博客
10-23 1893
这篇文章主要是实现通过fofa来收集资产信息,将信息传递给radxray来进行挖掘src
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4402
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
(2022最新)XrayRad两款工具的使用与联动
qq1140037586的博客
12-14 7260
rad高速爬虫代理代理给xray实现快速扫描、爬虫是xray的弱项,通过rad便可以实现更高效的扫描
如何利用pppxray进行批量漏洞扫描
Misread的博客
12-16 345
输入 python .\pppXray.py -r target.txt回车。访问这个网站可能进不去,一个小技巧:在github后面加上fast即。下载xray并配置好之后找到对应的位置添加到系统环境变量中。2.需要python3环境在哪下载哪里都有安装教程。下载完之后直接把文件跟xray放在一个文件里去。想扫描几个网站就添加几个url。根据自己得电脑下载所需安装包。在当下目录输入cmd。
AWVS+Xray+SqlMap
08-09
回答: AWVS, Xray和SqlMap是一些常用的网络安全工具。AWVS是指Acunetix Web Vulnerability Scanner,它用于对Web应用程序进行漏洞扫描Xray是一个用于Web漏洞扫描和渗透测试的工具,它可以与Burp Suite一起使用。而SqlMap是一款自动化SQL注入工具,用于检测和利用SQL注入漏洞。这些工具在进行网络安全测试时可以提供帮助,并帮助发现可能存在的安全漏洞。 [2 请注意,这些工具的使用需要谨慎,因为错误的使用可能导致意外的结果和对目标系统的损害。在使用这些工具之前,请确保您有合法的授权,并遵循适当的道德和法律规范。 [3
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

0x717866

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值