Xray简单使用

最新推荐文章于 2024-03-20 19:56:16 发布
最新推荐文章于 2024-03-20 19:56:16 发布
阅读量2.8w 收藏 116
点赞数 17
分类专栏: 安全工具 文章标签: 安全 scan web扫描器 漏洞扫描 安全扫描
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42248871/article/details/120981838
版权

概述

Xray是一款功能强大的安全评估工具,支持主动被动多中扫描方式,支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统

特点

  • 检测速度快
  • 支持范围广
  • 高级可定制
  • 安全无威胁
  • 更新速度快

支持的漏洞检测类型

  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd-injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path-traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute-force)
  • jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf-injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • POC 框架 (key: phantasm)

其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行

下载与安装

下载地址

xray community

GitHub地址:https://github.com/chaitin/xray/releases

文档地址:https://docs.xray.cool/

支持多种操作系统安装与下载
在这里插入图片描述

安装

1、因为博主是Windows64位操作系统,故选择64位的安装文件

在这里插入图片描述

2、进行解压,发现就一个exe文件

在这里插入图片描述

3、使用cmd命令行定位到当前xray.exe所在的路径

在这里插入图片描述

运行该文件

在这里插入图片描述

同时xray_windows_386.exe文件的同目录下生成了config.yaml配置文件

在这里插入图片描述

查看xray的版本号 version

在这里插入图片描述

查看 帮助文档 --help

在这里插入图片描述

配置介绍

Xray 目录下的 config.yaml 文件包含了所有的配置信息,配置主要是五个大类:http、plugins、 reverse、mitm、basic_crawle

设置允许扫描的域名

hostname_allowed: 是允许扫描的域名,hostname_disallowed: 是不允许扫描的域名,可以使用星号(表示所有)匹配

扫描插件配置

插件配置修改主要是开启和关闭,默认是全部开启,扫描时检测全部类型的漏洞,不需要检测的漏洞类型修改为 false;扫描时也可以指定插件,如:–plugins xss,xxe,cmd_injection

发包速率限制

防止请求太快被 waf 拦截,可以将每秒请求数减小,默认每秒 500

扫描代理配置

设置代理可以与 burp suite 等其他软件联动使用

代理模式

1、生成ca证书

xray_windows_386.exe genca

在这里插入图片描述

2、向浏览器导入ca证书

在这里插入图片描述

选择ca证书的所在路径

在这里插入图片描述

信任证书

在这里插入图片描述

结束

3、设置浏览器的代理

在这里插入图片描述

4、运行xray,进行监听

xray_windows_386.exe webscan --listen 127.0.0.1:7777 --html-output test.html

webscan web页面的漏洞检测
--listen 监听
--html-output 输出html格式

在这里插入图片描述

访问dvwa的sql注入模块

在这里插入图片描述

xray变化

在这里插入图片描述

结束 CTRL+c

在这里插入图片描述

3、打开test.html,查看生成的报告

在这里插入图片描述

在这里插入图片描述

爬虫模式

xray可借助爬虫进行漏洞检查

xray_windows_386.exe webscan --basic-crawler http://127.0.0.1/bc/DVWA/vulnerabilities/sqli/?id=2&Submit=Submit# --html-output 111.html

webscan web页面扫描
--basic-crawler 基础爬虫

在这里插入图片描述

Xray + BurpSuite

burpsuite 作为 Xray 的上游代理(抓取Xray 发包)

即:浏览器 -> Xray -> burpsuite -> 服务器端

此方式可以方便查看Xray扫描网站所发的数据包,而且也可以测试poc是否正确

Xray 作为 burpsuite的上游代理(协助测试)

即:浏览器 -> burpsuite -> Xray -> 服务器端

此方式可以方便想测哪里就测哪里,想测试就发送给Xray,不想可以把数据包丢掉

小白学安全
关注
  • 17
    点赞
  • 116
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
matlab最简单的代码-Xray_Sim:MATLAB中的Xray模拟项目
05-22
matlab最简单的代码适用于MATLAB中STL文件的锥束几何X射线模拟器 该软件包对3维物体(3D)执行了模拟的2维(2D)X射线投影,并使用MATLAB以立体光刻格式(STL)进行了描述。 之所以选择锥形束几何图形作为X射线模型,是因为它比平行和扇形X射线几何图形具有实用性优势(最简单的现实世界场景,不需要准直器即可使光束平行化,减少设备等)。 1.入门 将文件夹X射线模拟添加到您的MATLAB路径。 在该文件夹中,您会找到主要功能XraySim.m,以及运行模拟所需的其他几个功能。 本文档的末尾提供了有关已使用软件包的参考。 确保要计划从中进行模拟X射线投影的STL文件与主要功能XraySim.m以及函数READ_stl.m,VOXELISE.m和projection2D.m位于同一文件夹中。 先决条件 确保要计划从中进行模拟X射线投影的STL文件与主要功能XraySim.m以及函数READ_stl.m,VOXELISE.m和projection2D.m位于同一文件夹中。 仿真概述 通过以下步骤可以概括此包装中的2D X射线投影过程: 将包含要从中获取模拟X射线的3D网格对象的
xray扫描器使用 (长亭科技公司创造)
yyj1781572的博客
11-27 8430
xray扫描器使用 xray是一款可以使用HTTP/HTTPS代理进行被动扫描安全工具
工具Xray的安装,入门的使用方法
分享Python知识
03-30 8560
工具Xray的安装,入门的使用方法
【渗透工具】xray的安装与使用教程
最新发布
qq_39972370的博客
03-20 844
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器
xray的安装及应用
热门推荐
qq_44504968的博客
09-09 3万+
xray的安装 xray简介 参考:https://www.anquanke.com/post/id/184204#h2-13 安装步骤 安装包下载链接:https://github.com/chaitin/xray/releases 一、下载成功并解压: 二、生成证书: 1、在安装包同文件下,新建如下文件,完成之后双击打开。新建过程中注意后缀名 或直接打开cmd,切换到xary所在目录 2、输入生成证书命令: xray_windows_amd64.exe genca 此时,你会在该目录下看到生产的证
xray 使用手册
nszmsjhshs的博客
03-30 2万+
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 一、下载操作 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。 下载地址:https://github.com/chaitin/xray(注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含源代码,直接下载
xray使用教程
Accompany的博客
04-04 1万+
安装xray 文章目录安装xray基本使用goby与xray的联动 官网 xray.cool 安装社区版即可 选择你需要的版本,这里以windows版本为例 解压后为exe格式,我们以Powershell打开当下文件夹 shift+右键 或者 在文件路径处输入powershell .\xray_windows_amd64.exe 运行xray 基本使用 这块比较简单,可以在很多地方获取到用法,也可以-h查看用法,选择自己需要的命令 例如扫描单个u
kindle的xray怎么用_Xray简单使用教程
weixin_39841709的博客
12-22 754
Xray简单使用教程0X00下载xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。下载地址为:注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含源代码,直接下载构建的二进制文件即可。xray 跨平台支持,请下载时选择需要的版本下载。0X01版本选择windows_amd64 Windows x64windows_386 Windows x86系统版本要求大于等于 W...
Xray使用
m0_63581584的博客
03-07 4122
X-ray: 扫描结果的一些参数: 被动扫描:需要新设置一个代理,到本机的127.0.0.1:7777端口,命令生成一个CA证书,将CA证书导入到浏览器,然后输入命令如下, xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output test.html 扫描监听到7777代理端口的所有流量(浏览网站)输出到test.html 进行爬虫扫描指令: xray_windows_amd64.exe webscan --basic-cr
Xray 漏洞扫描工具使用方法
xmj818719的博客
02-21 1万+
使用XRAY进行主动扫描和被动扫描(window) 下载地址: Github: https://github.com/chaitin/xray/releases 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析。 1.1解压xray只发现一个exe文件,输入powershell 1.2输入命令# .\xray_windows_amd64.exe genca 1.3安装生成的CA证书...
xray_1.7.1-1
04-29
xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
Xray-install:安装和升级Xray的最简单方法
03-20
用于在支持systemd的操作系统(例如CentOS / Debian / OpenSUSE)中安装Xray的Bash脚本。 installed: /etc/systemd/system/xray.service installed: /etc/systemd/system/xray@.service installed: /usr/local/bin/...
xray-master
09-21
xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者...
Xray社区版安装包下载
12-22
xray社区版漏洞扫描器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,可以满足广大安全从业者的自动化 Web 漏洞探测需求
PHPStudy介绍、下载与安装
WX公众号-小白学安全
04-01 8764
文章目录介绍下载地址安装测试 介绍 phpStudy是一个PHP调试环境的程序集成包。该程序包集成最新的 Apache+PHP+MySQL+phpMyAdmin+ZendOptimizer,一次性安装,无须配置即可使用,是非常方便、好用的PHP调试环境 下载地址 phpstudy官网下载地址:https://www.xp.cn/ phpstudy有Windows、Mac和Linux版本,根据各自选择需要安装 由于博主是Windows环境,故选择Windows版本 安装 Windows版本phpstudy下
Acunetix Web Vulnerability Scanner(AWVS)
WX公众号-小白学安全
10-26 6083
概述 Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞,如SQL注入,XSS,目录遍历,命令注入等 AWVS可以扫描任何通过Web浏览器访问和遵循HTTP/HTTPS规则的Web站点 适用于任何中小型和大型企业的内联网、外延网和面向客户、雇员、厂商和其它人员的Web网站 工作原理 扫描整个网络,通过跟踪站点上的所有链接和robots.txt来实现扫描扫描后AWVS就会映射出站点的结构并显
SQLMap
WX公众号-小白学安全
10-26 3613
概述 ​ SQLMap是一款开源、自动化的SQL注入漏洞检测工具,主要功能是扫描、发现并利用给定URL的SQL注入漏洞,能够检测动态页面中的get/post参数、cookie、http头、还可以查看数据、文件系统访问、甚至能够操作系统命令执行。 支持的数据库:MySQL、Oracle、PostgreSQL、MSSQL、Microsoft Access、IBM DB2、SQLite、Firebird、Sybase、SAP MaxDb 检测方式:union联合查询注入、布尔盲注、时间盲注、报错注入、堆叠注入 基
Nmap--网络映射器
WX公众号-小白学安全
10-26 1737
概述 ​ Nmap(network mapper,网络映射器),一款开放源代码的网络探测和安全审核工具。 作用 ​ 被设计用来快速扫描大型网络,包括主机探测与发现、开放的端口情况,操作系统与应用服务指纹识别、WAF识别以及常见安全漏洞 特点 主机探测:探测网络上的主机 端口扫描:探测目标主机开放的端口 版本检测:探测目标主机的网络服务,判断其服务名称和版本号 系统检测:探测目标主机的操作系统及网络设备的硬件特性 支持探测脚本的编写 常用方法 扫描单个目标地址 nmap 192.168.43.221
super xray使用教程
09-16
super xrayxray的一个GUI版本,用于帮助新手更方便地使用xray漏洞扫描工具。它是xray的命令行版本的一个简单包装,提供了可视化界面。目前,xray还在规划中,未来将推出一个真正完善的GUI版本XrayPro工具。 使用super xray的步骤如下: 1. 下载并安装xray命令行版本(xray_windows_amd64.exe或xray_darwin_amd64等)。 2. 下载并安装super xray,确保super xray的可执行文件与xray命令行版本在同一个目录下。 3. 打开super xray的可执行文件(可能是super_xray.exe或super_xray等),启动GUI界面。 4. 在GUI界面中,可以进行扫描目标的配置,包括目标URL、扫描类型、扫描策略等。 5. 配置完成后,点击开始扫描按钮,super xray会调用xray命令行工具进行漏洞扫描。 6. 扫描结果会在GUI界面中显示,包括漏洞详情、漏洞级别、修复建议等信息。 请注意,以上步骤仅为示例,实际操作可能因系统环境和软件版本而有所不同。建议参考官方文档或相关教程获取更详细的使用指南。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值