xray 被动_BurpSuite + Xray 被动扫描配置

最新推荐文章于 2024-04-02 14:04:48 发布
最新推荐文章于 2024-04-02 14:04:48 发布
阅读量684 收藏
点赞数
文章标签: xray 被动
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42355421/article/details/111967126
版权

BurpSuite手动测试配合xray做被动扫描,实际使用结果还不错,主要扫描出的漏洞集中在敏感信息泄露和xss一类的。

0x00、BurpSuite的代理配置:

首先需要配置BurpSuite转发ip与端口:

流程:1、选择 user options

2、选择Upstream Proxy System

3、添加ip与端口信息,第一行填 * 匹配任意字符,第二行填ip(这里的ip取决于你的xray服务所在的ip),第三行填端口

如图:

0x01:xray的监听配置:

打开xray(下载地址:xray)所在位置,运行:xray_windows_amd64.exe genca 生成证书,导入浏览器:

点开火狐证书选项,点击导入,找到生成的ca.crt,然后勾选信任网站

开启监听:xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output result.html

完成监听,之后在burp上的操作都会被发送到xray做被动扫描状态

0x02:

到这里其实就可以跟之前正常渗透步骤一样进行测试了,时不时过去看下xray生成的html网页有没有新的结果即可,另外xray可以自行配置,感兴趣的可以去翻一下官方文档。

weixin_42355421
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
xray run with burpsuite
12-08
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,此为xray联动burpsuite自动运行脚本:自动生成证书、按照日期自动备份历史报告。
Xray扫描器与BrupSuite联动
认真走好每一小步
07-25 1237
一款很顶的扫描
xray被动扫描+burpsuite
cj_Hydra's Blog
10-26 1641
前言: 通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多的缺点。 比如:直接扫描导致访问网站变慢、IP存在被防火墙BAN的可能。 那么今天带来的新姿势就是xray被动扫描,在我们进行手动浏览器网页时,使用burp抓包,并且对浏览过的网页进行漏洞扫描。 流程如下:浏览器访问目标网址——》burp抓包——》xray检测burp所抓取的数据包。 第一步:打开burp,设置代理。 第二步:浏览器设置代理与burp进行联通。 此时通过浏览器访问网址后的数
安全测试 —— 如何使用burpsuite+xray实现联动测试?
最新发布
04-02 392
目的:安全测试过程中手动分析测试与xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。
Xrayburpsuite联动被动扫描
热门推荐
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xrayburpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
burpsuite联动xray进行web安全评估
煜铭2011
12-08 4696
目录 0x00背景 0x01下载运行 下载地址 0x02自动配置xray 0x03 burp联动xray 0x04参考文档 0x00背景 xray(https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 ...
渗透测试-地基篇-Xray安装使用-联动burpsuit自动挖洞(十四)
qq_34801745的博客
11-30 7320
** 渗透测试-地基篇-Xray使用-联动burpsuit(十三) ** 作者:大余 时间:2020-11-30 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决
BurpSuiteXray联动进行被动扫描实战
永远是少年
01-01 1437
今天继续给大家介绍渗透测试相关知识,本文主要内容是BurpSuiteXray联动进行被动扫描实战。 一、xray简介与下载 二、BurpSuitexray联动简介 三、BurpSuitexray联动实战
Burpsuit结合xray使用
Blue_Starry的博客
01-23 1148
在浏览器代理的基础上,更方便的做法是使用burp的中转功能结合xray,这样扫描到的资源会更多。 首先,进行burp的中转设置,如下图: 然后启动xray,打开浏览器,将代理设置为burp的端口,如下图: 访问目标网站,可以发现所有流量经burp后发送到xray进行扫描,大多数的加载项已经可以扫描,只剩下少数的需要主动触发的扫描需要人为干预。 ...
xray_run_with_burp.zip
08-19
xray 不开源,直接下载构建的二进制文件即可,仓库内主要为社区贡献的 poc,每次 xray 发布将自动打包。此脚本主要适合自动启动xray,然后进行burp配置
crawlergo_x_XRAY:crawlergo动态爬虫+长亭XRAY扫描器的被动扫描
01-20
360 0Kee-Team 的 crawlergo动态爬虫 结合 长亭XRAY扫描器的被动扫描功能 (其它被动扫描器同理),实现躺着挖洞美梦
Xray_bash_onekey:Xray基于Nginx的VLESS WebSocket + TLS XTLS一键安装脚本
04-06
Xray基于Nginx的VLESS WebSocket + TLS / XTLS一键安装脚本 感谢JetBrains提供的非商业开源软件开发授权。 感谢JetBrains的非商业性开源开发授权。 使用说明 可以直接输入命令: idleleo管理idleleo 。 减少直接...
xray_windows_amd64.exe.zip
06-22
被动扫描,爬虫分析, 。
Burpsuite+xray梦幻联动(超详细版)
Curry_live的博客
04-29 7678
让我们一起坚守网络的一方安全
Burp Suite配合xray代理socks流量
Qeminco的博客。
09-17 3453
一、配置xray中config.yaml文件中proxy字段 socks5://用户名:密码@ip:端口 二、Burp Suite配置socks代理 User options中找到socks proxy 三、xray开启监听端口 四、浏览器开启代理端口 我的xray监听的是http://127.0.0.1:7777 所以浏览器代理也是http://127.0.0.1:7777 ...
Burp+Xray的联动使用
2301_78834737的博客
07-11 912
因为我们的实验目标是pikachu靶场。2)然后,我们启动burpsuite,并且在Proxy的options选项下,设置proxy listeners的端口原来从8080改成8081。3)然后,我们去burpsuite的user options里面,找到upstream proxy servers,把目标主机设置为http://pikachu.shifa23.com/1)首先,我们启动Xray的url监听功能,我们设置监听地址为127.0.0.1,端口为7777。输入以下命令后,xray的监听就开始了。
Burpsuite联动Xray
malathonsec
03-23 466
下载转发插件: Releases · c0ny1/passive-scan-client · GitHub 下载xray: https://github.com/chaitin/xray/releases/tag/1.8.4 运行xray 命令行生产证书导入 xray.exe genca 点击ca.crt burp安装插件 xray开启监听(可以做成bat后缀一键启动) xray.exe webscan --listen 127.0.0.1..
漏洞扫描-Xray教程
m0_72125469的博客
06-04 6820
Xray漏扫工具:主动、被动盲打、POC。
xray编写poc burpsuite
08-22
要编写一个PoC(Proof of Concept)来使用xrayburpsuite进行联动,可以按照以下步骤进行操作: 1. 首先,使用Burp Suite的原生和xray建立多层代理,将流量从Burp Suite转发到xray中。 2. 确保已经安装并配置Burp Suitexray。 3. 在xray中启动webscan监听,可以使用以下命令:`.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output result.html`[3] 4. 现在,可以开始编写PoC。 5. 打开Burp Suite的Proxy选项卡,并将要测试的目标应用程序配置为使用Burp Suite作为代理。 6. 在Burp Suite中拦截请求,然后可以使用各种Burp Suite提供的工具来分析和修改请求。例如,可以使用Repeater工具来修改请求,并观察xray扫描结果。 7. 将修改后的请求发送到目标应用程序,让xray对其进行扫描。 8. 观察xray扫描结果,可以在xray的输出中查看漏洞信息和建议修复措施。 9. 如果需要,可以根据xray扫描结果再次修改请求,并继续进行测试,直到满足测试需求。 请注意,这只是一个基本的示例,并且可以根据具体的测试需求进行调整和扩展。编写PoC时应遵循良好的测试规范和道德准则,并且在合法授权的范围内进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [burpsuite+xray实现联动测试(手动分析和自动化测试同时进行)](https://blog.csdn.net/sxyzwq/article/details/131136311)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值