之前那篇有条命令敲错了 “.\xray.exe”写成了“./xray.exe”。在做渗透测试时,漏扫这种自动化工具如利用得当,可大大提高我们挖owasp top 10漏洞的效率,平时渗透时用的比较多都是AWVS,APPSCAN,NESSUS等工具,但这些工具发包速率太高,数量太多,很容易把网站扫挂或导致Ip被封,最近在大佬同事的指导下,接触了xray这款被动扫描工具,扫描发包数量少,可对登录后的URL进行扫描,基本可坐收漏洞。下面就像大家介绍一下利用该工具进行漏扫的基本操作。
主要分为以下几部分:
一、扫描类型
其实图中已经说明:主动扫描:自己发送请求包进行扫描,像AWVS,APPSCAN,NESSUS便是,把目标加进去,扫描完了,查看漏洞情况。被动扫描:对接收的请求包进行扫描,如今天要介绍的xray,它会对接收到的url进行扫描,这样扫描包的数量更少,要想扫描更全,就尽量把系统内所有功能走一遍。二、xray与夜神模拟器联动
场景:利用xray对安装在夜神模拟器中的app 登录后的各功能进行扫描。代理配置过程,跟使用burpsuite抓模拟器中包配置差不多。配置xray代理,进行被动扫描,命令如下:.\xray.exe webscan --listen 192.168.0.101:8080 --html-output 2.html
192.168.0.101为本机ip
--html-output指扫描结果输出保存格式为html,此处扫描结果保存在xray.exe所在目录下的2.html,如果未扫到漏洞,则不会有文件生成。
三、xray与burp联动
xray只能扫owasp top10的漏洞,业务逻辑类漏洞必须通过手工进行测试,而burpsuite是必备神器之一,如果两者能联动,那岂不是双管齐下,效率翻倍。burpsuite与xray联动也很简单,只需在burpsuite配置xray代理,浏览器安装xray证书就行。第一步不变,xray开启代理:.\xray.exe webscan --listen 127.0.0.1:7777 --html-output output.html
burpsuite配置xray代理:
浏览器配置burpsuite代理
访问要扫描的网站,显示要安装证书,点击download ca 双击下载后的证书,或通过浏览器导入都行。 导入xray证书后,可成功访问网站,访问网站的流量变可通过burpsuite转发给xray,xray对接收到的url进行扫描:四、xray与burpsuite联动扫描https网站
前提:已安装burpsuite证书通过burpsuite能成功抓到https的包。原理其实差不多,要xray监听到https网站流量,只需安装xray证书,如果没安装是抓不到的: 生成xray证书:.\xray.exe geca
在浏览器中导入ca.crt证书,注意如果xray.exe所在的文件夹中已有证书文件无法重新生成,需删除后,才会生成。导入证书后,可成功抓取https网站流量:
其他配置跟上一部分差不多。
五、xray其他用法
想全面的了解xray的用法,可使用.\xray -h
想了解某个功能用法,如webscan 可使用
.\xray webscan -h
可指定插件,poc扫,输出结果也可保存为多种格式,可进行批量扫。下面简单介绍几种:
xray也可以像AWVS那样进行主动扫描,不配置代理,直接指定要扫描的url:
.\xray.exe webscan --url http://example.com --html-output output.html
图中扫的是自己搭的靶机,此处默认也是使用全部插件,扫出了sql注入(
如未设置--html-output则扫描结果就如图直接输出在cmd界面中)。指定插件扫,指定sql注入
--plugins参数:
.\xray.exe webscan --plugins sqldet http://example.com
被动扫描时,难免会点到其他非测试目标,如果未配置,xray也会对其进行扫描,比如之前测试时,用360浏览器,发现扫描器在对360相关网站进行扫描,经同事大佬指导,可在配置文件中(config.yaml),配置只对特定网站扫描:
在inclue中配置要扫描的网站,excludes配置不用扫描的网站。
其他资料:
xray git 项目地址:
https://github.com/chaitin/xray
扫描器结果整理,把json转换为excel:https://github.com/thatqier/tools/blob/master/xray_json_to_csv.py
扫描器手册:
https://xray.cool/xray/#/tutorial/introduce
希望大家都能躺收漏洞。