xray与burp/rad联动

最新推荐文章于 2024-03-03 16:23:10 发布
最新推荐文章于 2024-03-03 16:23:10 发布
阅读量1w 收藏 22
点赞数 4
分类专栏: web渗透工具 文章标签: xray rad
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_44159028/article/details/114954341
版权

目录

介绍      

一、xray与burp suite联动

二、自动化扫描

三、xray与rad联动

批量自动化扫描

介绍      

       xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。

       xray经常用来与burp联动进行被动式扫描,在进行内网web渗透的时候,能大大提高渗透效率。

一、xray与burp suite联动

1. bp配置

     在常规的抓包基础上,burp在配置一个下游的代理。将流量抓发给xray进行扫描。在bp能抓到网站数据包的基础上进行如下配置。这里bp将流量抓发到本机的7777端口

2. 开启xray

       在xray exe程序的目录下进入cmd,执行以下命令。xx.html是扫描到的漏洞的保存文件

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xx.html

二、自动化扫描

xray还支持自动化扫描,爬虫自动爬取网页

xray_windows_amd64.exe webscan --basic-crawler url地址 --html-output xx.html

三、xray与rad联动

rad也为长亭科技开发的一款目录爬取工具,因为xray自动化爬取功能欠佳,所以结合rad可以更高效的自动爬取。注意,rad只是爬取目标的目录,不爬取子域!!

下载  ——> https://github.com/chaitin/rad

1. 社区版 xary开启代理监听

xray_windows_amd64.exe  webscan --listen 127.0.0.1:7777 --html-output proxy.html

2. rad对目标进行爬取

rad_windows_amd64.exe  -t http://example.com -http-proxy 127.0.0.1:7777

这样rad爬取的结果会自动转给xray进行扫描

批量自动化扫描

——> xray+rad批量自动化扫描_北遇-CSDN博客

~Echo
关注
  • 4
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,和rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 Xray的主要特点如下: 全自动化扫描:Xray可以进行全自动化的漏洞扫描,并自动执行漏洞利用过程。 分布式扫描:Xray支持多节点分布式扫描,可以快速处理大规模目标站点。 智能信息收集:Xray在漏洞扫描前会对目标站点进行智能信息收集,以便更好地进行漏洞检测和利用。 多种漏洞利用方式:Xray提供多种漏洞利用方式,包括HTTP请求、JavaScript、SQL注入等,可以有效规避防御措施。 以下是Xray常用指令: xray webscan start:启动一个全新的Web漏洞扫描任务。 xray webscan stop:停止当前正在进行的Web漏洞扫描任务。 xray webscan config:配置Web漏洞扫描选项,例如设置代理服务器、设置Cookie、设置扫描策略等。 xray webscan status:查看当前Web漏洞扫描任务的状态和进度。
burpsuite+xray实现联动测试(手动分析和自动化测试同时进行)
sxyzwq的专栏
06-09 2843
burpsuite+xray实现联动实现安全测试
XrayRad联动
最新发布
weixin_65582330的博客
03-03 933
xray webscan --listen 127.0.0.1:7777 --html-output proxy.html (监听自己本机的7777端口,然后扫描之后的结果保存到html文件中。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件,可以加--html-output参数把输出到指定的html中。检测目标网站是否存在Struts2系列漏洞,包括s2-016、s2-032、s2-045、s2-059、s2-061等常见漏洞。检测ThinkPHP开发的网站的相关漏洞。
awvs、xrayburp安装使用手册集合.doc
04-27
本人学习中亲自整理awvs、xrayburp安装使用手册
awvs13_batch_py3:针对AWVS扫描器开发的批量扫描脚本,支持联动xrayburp,w13scan等被动批量
03-20
AWVS批量扫描脚本 脚本功能 完美支持AWVS13,AWVS12两个版本的API接口 支持URL批量添加扫描 支持对批量网址添加cooKie凭证进行爬虫扫描 支持结合被动扫描器进行配置扫描,如: xray , w13scan , burp等扫描器 支持一键删除所有任务 通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,限制为仅包含地址和子目录 支持对扫描器内已有目标进行批量扫描,支持自定义扫描类型 使用教程 1,配置好当前当前的awvs_config.ini文件 2,使用Python3运行awvs_add_url-v2.0.py 现在就可以根据自己需求进行扫描吧 awvs12批量添加并设置唯一爬虫,配置好cookie等参数,发送到xray扫描器扫描 AWVS安装 推荐使用Docker进行部署,个人也比
(2022最新)XrayRad两款工具的使用与联动
qq1140037586的博客
12-14 6599
rad高速爬虫代理代理给xray实现快速扫描、爬虫是xray的弱项,通过rad便可以实现更高效的扫描
【漏洞挖掘】Xray+rad自动化批量漏洞挖掘
信安是不可或缺的一部分!
07-31 2221
自动化漏洞挖掘是指利用计算机程序和工具来扫描、分析和检测应用程序、网络和系统中的安全漏洞的过程。这种方法可以帮助安全专家和研究人员更高效地发现和修复潜在的安全威胁,从而提高整体系统的安全性。注意:一切未授权挖掘属于违法行为提示:以下是本篇文章正文内容,下面案例可供参考更多使用可以查看:https://docs.xray.cool/#/tutorial/introduce我的推荐使用awvs联动xary可以全面的做漏洞扫描。
xrayburp联动
xhscxj的博客
10-25 3282
xray下载安装先通过PowerShell打开xray所在的目录,运行,生成yaml文件genca在目录下生成证书生产证书后将证书导入浏览器导入后在本地安装一下。
XrayBurp联动
xiaoheizi的博客
06-12 5182
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xrayburp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
Xray+burp联动使用(被动扫描)
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
xray_1.7.1-1
04-29
xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
xray_run_with_burp.zip
08-19
xray 不开源,直接下载构建的二进制文件即可,仓库内主要为社区贡献的 poc,每次 xray 发布将自动打包。此脚本主要适合自动启动xray,然后进行burp配置。
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴进去(一行一个url) 3、执行python脚本 python3 xray单线程批量检测.py
xray run with burpsuite
12-08
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,此为xray联动burpsuite自动运行脚本:自动生成证书、按照日期自动备份历史报告。
burpsuite解决中文乱码的问题
热门推荐
yy
05-02 1万+
burp中存在中文的时候经常会乱码,所以这里解决这个问题 1. 修改字体 这里修改为幼圆,只要是中文名字的字体就行 2. 修改编码 3. 现在中文乱码的问题就解决了
sqlmap跑https网站
yy
05-09 1万+
目录 通过本地代理端口进行访问 使用sqlmap注入https的网站时,如果没有进行任何处理则会报错如下。就是因为ssl证书的原因,而且sqlmap它是不能自动伪造ssl证书的 sqlmap直接加上--force-ssl参数,然后还是ssl报错。所以这种方法不好使 通过本地代理端口进行访问 这里通过代理本地的burp进行访问,如下 1. burp开启代理监听端口 监听的ip为现在使用的网卡的ip,端口输入如8081 2. 使用--proxy参数 如下进行代理,成功解决ssl报错
BurpSuite2021.5.1下载与使用
yy
04-23 1万+
下载地址 -》 页面如下,非常漂亮啊 一. 安装 1. 此个版本需要jdk16的环境 jdk16下载地址:https://download.oracle.com/otn-pub/java/jdk/16.0.1+9/7147401fd7354114ac51ef3e1328291f/jdk-16.0.1_windows-x64_bin.exe?AuthParam=1619104873_4842fcf26faba49f0f3fc4042015b5e0 下载后一路下一步安装,然后再配环境变量就行 2
暴力破解之NTscan
yy
01-17 1万+
工具:NTScan 使用场景:本地网络 支持模式:139/445| 支持IPC/SMB/WMI 三种扫描模式 字典文件:NT_user.dic/NT_pass.dic NTscan工具能够对本地主机用户名密码进行爆破(前提是字典足够强大以及对方电脑未开启),可以对本地的虚拟主机进行测试,在 本地的NT_user.dic 和 NT_pass.dic中填写我们要进行测试的主机...
AWVS、xrayburpsuite怎么联动扫描
09-23
AWVS、xrayBurp Suite可以通过设置代理来进行联动扫描。下面是它们的具体配置步骤: 1. 首先,需要启动xray并设置其监听地址和端口。例如,可以在命令行中运行以下命令: ``` xray_windows_amd64.exe webscan --listen 10.30.20.68:7777 --html-output 2022.html ``` 2. 接下来,在Burp Suite的用户设置中,配置上游代理设置为xray所监听的地址(10.30.20.68:7777)。 3. 在浏览器中设置代理,确保与Burp Suite的设置保持一致。 4. 然后,启动AWVS并添加扫描目标。保存后,在Proxy Server选项中设置与xray一样的IP地址和端口(10.30.20.68:7777)。 5. 最后,选择仅扫描模式,AWVS将不进行漏洞扫描,而是将流量传递给xray进行漏洞扫描。 通过以上配置,AWVS、xrayBurp Suite就可以实现联动扫描。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

~Echo

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值