xray安装与bp组合使用-被动扫描

最新推荐文章于 2023-10-16 20:18:48 发布
最新推荐文章于 2023-10-16 20:18:48 发布
阅读量367 收藏
点赞数
分类专栏: 开发工具 文章标签: 网络安全 web安全 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_42786460/article/details/133823467
版权

xray安装与bp组合使用-被动扫描

文章目录

1 工具官方文档:

https://docs.xray.cool/#/scenario/burp

参考视频教程:https://www.bilibili.com/video/av940482397/?vd_source=07fe8b0af86975fbc5f3de79fd3d6186

2 xray官网

在这里插入图片描述

3 工具使用

双击xray_windows_amd64.exe程序,让程序加载一下启动下程序文件

在这里插入图片描述

4 使用指令说明

#使用基础爬虫爬取并扫描整个网站
.\xray.exe webscan --basic-crawler http://wordy/ --html-output proxy.html
#windows xray版单个url检测
.\xray_windows_amd64.exe webscan --url "http://example.com/?a=b" 
#使用http代理发起被动扫描,
./xray_linux_amd64 webscan --listen 127.0.0.1:8888 --html-output proxy.html 
#指定扫描
xray_windows_amd64.exe webscan --plugins cmd_injection,sqldet --url http://test.com
xray_windows_amd64.exe webscan --plugins cmd_injection,sqldet --proxy 127.0.0.1:8888

### 全网站扫描
xray_windows_amd64.exe webscan --basic-crawler http://192.168.225.213/ --html-output 2.html

5 此为设置被动扫描

被动扫描根据点击的功能菜单进行具体扫描

C:\wintools_10.12\xray_1.9.11>xray_windows_amd64.exe  webscan --listen 127.0.0.1:7777 --html-output 1.html

webscan 针对web的扫描   7777是将端口占住   , --html-output  1.html 加1.html将扫描结果导出1.html,不加是不要扫描结果报告

在这里插入图片描述

6 被动扫描-启动成功

在这里插入图片描述

7 启动bp

7.1 设置bp的上层代理

在这里插入图片描述

7.2 添加上层代理7777 --》指向的是xray

在这里插入图片描述

7.3 上层代理设置好后,框中多出一条

在这里插入图片描述

7.4 在设置bp的自己端口

在这里插入图片描述

8 安装火狐浏览器,安装ca证书,浏览器输入http:burp

​ 安装证书也可参考https://docs.xray.cool/#/tutorial/webscan_proxy\

9 测试打开靶场,点击几个页面

在这里插入图片描述

10 流量会经过bp,在转发给xray ,扫描后红色为存在的漏洞点

在这里插入图片描述

11 查看扫描的文件

在这里插入图片描述

在这里插入图片描述

12 测试完毕后,bp记得删除上层代理,选中点击remove

在这里插入图片描述

煜磊
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
扫描器(xraybp联动)
m0_56578216的博客
10-12 630
扫描器分为对web扫描器和对主机的扫描器。
xray-weblisten-ui:Xray 被动扫描管理
04-15
基于Xray被动扫描管理 安装 建立资料库 修改config.yaml 下载genca xray(和lic) 跑步... 用法 建立资料库 create database ` weblisten ` default character set utf8mb4 collate utf8mb4_unicode_ci; create ...
Xray-android-arm64-v8a
04-07
Xray-android-arm64-v8a
BurpSuite联动Xray&Sqlmap&&抓取APP数据包
告白的博客
01-24 3435
超详细!BurpSuite联动Xray&&Sqlmap&&抓取APP数据包
xray联动bp
最新发布
weixin_52963334的博客
10-16 140
bp中打开useroptions标签找到upstream proxy serbers,点击add添加上游代理以及作用域。首先xray建立起webscan的监听。在浏览器中使用burp的代理。
xray与burp联动 挖掘
m0_65247093的博客
05-10 2645
目录 0x0Axray基本介绍与使用 0x0a xray官网 0x0b安装配置 0x0cxray(社区版)的基本使用 0x01主动扫描(切记授权) 0x02 被动扫描 0x0d xray红队版 0x01子域名搜集 0x02 专项扫描 等等... 0x0B burp与xray的联动 0X01抓取https流量 0x02 burp为xray的上游: 0x03 burp为xray的下游:(安装jar插件) 总结 ;如上不管是burp作为xray的前后端 效果都不是太好(推荐有...
xray bp联动
weixin_53316511的博客
06-09 3232
BPxray联动 打开BP找到User options 然后看到Upstream Proxy Servers Add添加 端口可以不用填7777(和xray监听端口对应) 第一行可以选着不填 设置完成后 打开xray和浏览器(浏览器需要开BP代理,BP代理常规设置即可,不用修改)看一下效果 流量就会经过BP 然后xray帮我们扫描 这样岂不美哉 ...
Xray扫描器与BrupSuite联动
认真走好每一小步
07-25 1277
一款很顶的扫描
漏洞扫描-Xray教程
m0_72125469的博客
06-04 6962
Xray漏扫工具:主动、被动盲打、POC。
xray安装,图形化界面以及和bp联动
strider1123的博客
08-06 654
这两天学的乱起八糟的,本来是学反序列化,奈何太穷只能白嫖别人的ctfshow,做着做着发现环境没了掉线了,加上php基础不太好断断续续的没学啥玩意,就先放一边瞅了瞅php基础,顺带补之前互联网协议啥的作业 也忘了咋回事就想起来装xray了 直接下载或者是下载之后传上去:https://github.com/chaitin/xray 以及图形化:https://github.com/4ra1n/s...
Xray+burp联动使用被动扫描
single_g_l的博客
04-28 1万+
一、Xray工具 1、Xray概念 Xray是一款功能强大的安全评估工具,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广、代码质量高高级可定制、安全无威胁都是它的特点。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持;编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性;xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 2、下载..
Xray-yes:Xray安装脚本Xray安装脚本(VLESS + tcp + xtls)
03-07
又一个安装Xray的shell脚本VLESS TCP XTLS + NGINX需要root权限Xray回落到nginx,nginx作为布局,放置一个静态网站使用一致bash -c "$(curl -L git.io/xray-yes)"安装bash -c "$(curl -L git.io/xray-yes)" - ...
Xray-install:安装和升级Xray的最简单方法
03-20
用于在支持systemd的操作系统(例如CentOS / Debian / OpenSUSE)中安装Xray的Bash脚本。 installed: /etc/systemd/system/xray.service installed: /etc/systemd/system/xray@.service installed: /usr/local/bin/...
XRay-Mod-v58-Modded-1.12.2.jar
02-05
我的世界透视模组,石头消失只剩下矿物,放到模组文件夹中就可以使用了。不是材质包不是材质包不是材质包重要的事情说三遍
rad-xray:xray+rad批量主动扫描
05-03
rad-xrayxray+rad批量主动扫描Usage:社区版用户url一行一个放url.txt中,和rad放同文件夹xray开启监听,./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html运行pypython3 rad+xray.py...
Xray 漏洞扫描工具使用方法
xmj818719的博客
02-21 1万+
使用XRAY进行主动扫描被动扫描(window) 下载地址: Github: https://github.com/chaitin/xray/releases 运行 xray 需要在 powershell 中,在 powershell 中 xray 可以对测试结果进行格式化输出,方便 我们查看分析。 1.1解压xray只发现一个exe文件,输入powershell 1.2输入命令# .\xray_windows_amd64.exe genca 1.3安装生成的CA证书...
web扫描姿势——xray被动扫描
热门推荐
小刚的博客
05-03 10万+
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于它用途 web扫描技巧web扫描新姿势:被动扫描passive-scan-client介绍xray扫描xray和passive-scan-client组合使用总结 web扫描新姿势:被动扫描 通常我们在进行web扫描漏洞时候,都是使用各种扫描器输入网址乱扫一通。这种方式虽然大众化,但存在许许多多...
安全测试burpsuite+xray+sqlmap
woshisiyecao的专栏
06-07 413
http://sqlmap.org/ tar xf sqlmapproject-sqlmap-1.0.9-87-g7eab1bc.tar.gz https://download.xray.cool/ python
Xray和Burp联动
xiaoheizi的博客
06-12 5784
业务逻辑类漏洞需手工抓包进行测试,为了让被动扫描和手工测试同时进行,可以将xray与burp进行联动,在burp上配置xray代理,将burp流量转发给xray扫描,就可以接收到漏洞了。xray根目录打开cmd命令行输入:.\xray.exe webscan –listen 127.0.0.1:8989 –html-output “自己的桌面路径\xray.html”命令意思:配置代理进行被动扫描,即本地8989端口进行流量监听,并把流量监听挖掘到的漏洞详情保存到桌面的xray.html文件内。
xray联动burp
09-07
为了让Xray和Burp同时进行漏洞扫描,可以通过将Burp的流量转发给Xray来实现联动。具体步骤如下: 1. 首先,确保已经安装和配置好了Xray和Burp。 2. 打开Burp并配置Xray代理。在Burp的Proxy选项卡中,选择Options,然后在Upstream Proxy Servers部分,配置Xray的监听地址和端口,通常是127.0.0.1:8888。 3. 在Xray安装目录下,使用命令行运行以下命令:`xray.exe webscan --listen 127.0.0.1:8888 --html-output test.html`。这将启动Xray被动扫描模式,并将扫描结果输出为HTML文件。 4. 确保已经配置好了需要扫描的目标,并且在Burp中进行正常的流量捕获。 5. 现在,当Burp捕获到流量时,会将其转发给Xray进行扫描Xray将分析流量,识别出OWASP Top 10的漏洞,并将结果输出到指定的HTML文件中(在上一步中指定的test.html)。 6. 您可以通过打开test.html文件来查看扫描结果,并进一步分析和处理漏洞。 通过以上步骤,您可以实现Xray和Burp的联动,同时进行漏洞扫描和手工测试。请注意,Xray只能扫描出OWASP Top 10的漏洞,对于业务逻辑类的漏洞需要进行手工抓包进行测试。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* *3* [Xray+burp联动使用被动扫描)](https://blog.csdn.net/single_g_l/article/details/124423431)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 100%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值