Xray工具的安装与使用

最新推荐文章于 2024-06-18 13:45:00 发布
最新推荐文章于 2024-06-18 13:45:00 发布
阅读量1.1k 收藏 1
点赞数
分类专栏: 网络安全 文章标签: 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43923136/article/details/132920608
版权

概述

xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成;支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试。

主要特性

检测速度快、支持范围广、代码质量高、高级可定制、安全无威胁

目前支持的漏洞检测类型:

XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版,key: struts)
Thinkphp系列漏洞检测 (高级版,key: thinkphp)
XStream 系列漏洞检测 (key: xstream)
POC 框架 (key: phantasm)

下载与安装

下载地址: https://github.com/chaitin/xray/releases

1、根据自己的电脑自行选择,因博主电脑是64位的,故选择64位的安装文件

在这里插入图片描述

2、解压并在cmd命令行下运行我们的安装文件
在这里插入图片描述

运行后,在xray_windows_386.exe文件的同目录下可以看到生成了config.yaml配置文件
在这里插入图片描述
3、接下来生成CA证书

xray_windows_amd64.exe genca

在这里插入图片描述在这里插入图片描述
4、导入我们生成后的证书,双击ca.crt进行安装,然后选择安装证书
在这里插入图片描述
5、进入到欢迎使用证书导入向导页面,选择本地计算机
在这里插入图片描述
6、点击下一步后会进入到证书导入向导页面,选择将所有的证书都放入下列存储->证书存储选择受信任的根证书颁发机构,最后点击确定->下一步->完成即可
在这里插入图片描述
7、Xray扫描

主动扫描:
xray_windows_amd64.exe webscan --basic-crawler http://pikachu/ --html-output pikachu.html

webscan             #用来探测web漏洞    
--basic-crawler     #漏洞扫描前会先进行基础爬虫爬取页面
--html-output       #输出为html类型的文件

在这里插入图片描述扫描完成后,报告会输出到Xray目录下
在这里插入图片描述
打开pikachu.html,查看生成的报告,可以看到我们的漏洞利用点
在这里插入图片描述

被动扫描

我这里使用的是火狐浏览器,首先在浏览器扩展中搜索proxy SwitchyOmega并添加
在这里插入图片描述点击xray情景模式并配置好代理服务器,代理端口可以设置一个不常用的端口即可;情景模式可以在新建情景模式功能模块中添加
在这里插入图片描述
配置好后从命令行进入安装xray的目录下并输入如下命令启动xray

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output beidong.html

在这里插入图片描述命令运行后在浏览器中开启代理
在这里插入图片描述
在这里插入图片描述

写在最后

xray 配置文件中默认不允许扫描 gov 和 edu 等网站,如果想对这些网站进行授权测试,需要在config.yaml配置文件中移除hostname_disallowed​​ 的相关配置才可以。严禁未授权的测试

瞬间H
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
2023xray漏洞测试工具
02-27
2023xray漏洞测试工具
Xray-web漏洞扫描工具.zip
02-02
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出 使用教程见:xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 目前支持的漏洞检测类型包括: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd_injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path_traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute_force) jsonp 检测 (key: jsonp) ssrf 检测 (key: ssrf) 基线检查 (key: baseline) 任意跳转检测 (key: redirect) CRLF 注入 (key: crlf_injection) Struts2 系列漏洞检测 (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。 简易架构 了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。 整体来看,扫描器这类工具大致都是由三部分组成: 来源处理 漏洞检测 结果输出 来源处理 这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了四个入口,分别是 HTTP 被动代理 简易爬虫 单个 URL URL列表的文件 单个原始 HTTP 请求文件 漏洞检测 这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。 结果输出 漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式: Stdout (屏幕输出, 默认开启) JSON 文件输出 HTML 报告输出 Webhook 输出
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 4668
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
【每天学会一个渗透测试工具Xray安装使用指南
最新发布
weixin_54750312的博客
06-18 1320
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描,扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
web扫描工具Xray
qq_58000413的博客
10-22 894
1、burpsuite作为Xray的上游代理(抓Xray发包)浏览器 -> Xray -> burpsuite -> 服务端。浏览器 -> burpsuite ->Xray -> 服务端。2、Xray作为burpsuite的上游代理(协助测试)foxyproxy、switchyomega等代理插件。Xray.exe -h 查看帮助。2、启动Xray、生产ca证书。4、运行Xray,开启监听。针对一个单个url地址检测。谁离浏览器近设置谁的代理。1、设置允许扫描的域名。
xray工具—代理扫描、爬虫扫描、Burp联动
剁椒鱼头没剁椒的博客
05-31 4016
Xray是长亭科技推出的一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,支持主动、被动等多种扫描方式,支持WindowsLinuxmacOS多种操作系统,同时支持用户自定义POC。目前xray分为:社区版、高级版、企业版。其中社区版是为免费版本,高级版需要为社区提供贡献获取金币、抽奖、商业销售进行获取,而企业版则只能通过商务购买进行获取。这里确实本来想好好总结一下,但是写着写着,发现确实配置文件都是中文,而且非常好理解,同时Xray
常规漏洞检测工具-xray(三)
siu~
08-03 308
xray 是一款功能强大的安全评估工具
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 6028
【漏扫工具XRAY使用
awvs、xray、burp安装使用手册集合.doc
04-27
Xray安装使用Xray是一款功能全面的安全评估工具,它的安装主要包括下载和运行程序。对于Windows用户,可以从GitHub或国内网盘下载Xray的Windows版本,解压缩后运行`.exe`文件查看版本号。为了扫描HTTPS站点...
xray自动扫描工具.zip
10-06
首先,`xray_windows_amd64.exe`是Xray工具的Windows 64位版本,用于在Windows环境下执行安全扫描任务。该程序能够检测目标系统或网络中的潜在安全弱点,包括但不限于SQL注入、跨站脚本攻击(XSS)、路径遍历、未...
安全测试工具xray 版本1.9.4
02-08
5. **集成增强**:Xray可能已经加强了与其他持续集成/持续部署(CI/CD)工具的集成,如Jenkins、GitLab CI/CD等,使得安全测试能更好地融入DevOps流程。 6. **自动化能力**:自动化脚本支持可能得到了增强,允许...
xray_windows_amd64.exe.zip
09-26
xray扫描器,xray_windows_amd64.exe.zip,好不容易下载下来的,贴出来只为攒点积分
Xray-install:安装和升级Xray的最简单方法
03-20
用于在支持systemd的操作系统(例如CentOS / Debian / OpenSUSE)中安装Xray的Bash脚本。 installed: /etc/systemd/system/xray.service installed: /etc/systemd/system/xray@.service installed: /usr/local/bin/...
X-ray扫描器的下载安装使用
hacker_yeyu的博客
08-20 767
3.下载后进入到xray文件夹中,运行.\xray_windows_amd64.exe genca,生成证书。X-ray扫描器是长亭科技推出的一款社区版扫描神器,今天我来介绍它的下载安装使用。5.打开X-ray扫描器,监听7777端口,输出文档,文档后缀为html。4.安装证书,根据默认选择进行安装即可。
Xray手工扫描
arissa666的博客
07-10 154
虚拟机打开之前配置的扫描网址,点一个网页本地就会扫描一次,红色的是高危漏洞。主动扫描-爬虫模式--和appscan和awvx差不多。命令行进入安装的目录,genca并生成证书。手工扫描,开启xray后挨个点要测试的网页。输出的名字是可以更改的。会自动根据点击的生成报告。
漏洞扫描器 XRAY
HAKUNAMATATATTA的博客
11-27 4646
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
X-RAY使用方法(一)
hauzhao的博客
06-17 5976
X-RAY是一款完善的安全评估工具,有着很多的有点,之前学长推荐了一下,然后自己去试过之后发现确实很好用,然后就写一下这个工具使用方法,顺便自己复习一下做个笔记。
Xray安装使用过程
m0_74783537的博客
10-25 596
xray社区版漏洞扫描器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
xray下载使用
badkis的博客
08-02 4080
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不
xray linux安装
08-30
XRay是一款网络安全工具,用于网络流量分析和安全监测。下面是在Linux上安装XRay的步骤: 1. 首先,访问XRay在GitHub上的代码仓库,找到适用于Linux的安装包。 2. 下载安装包,并将其保存在本地目录中。 3. 在终端中打开所下载的安装包,并解压缩文件。可以使用以下命令: ``` tar -zxvf xray_linux_amd64.tar.gz ``` 解压缩后,将会生成一个可执行文件。 4. 将可执行文件移动到系统的执行路径下,使用以下命令: ``` sudo mv xray /usr/local/bin/ ``` 5. 接下来,为XRay添加执行权限,使用以下命令: ``` sudo chmod +x /usr/local/bin/xray ``` 6. 确保系统中已经安装了所需的依赖库。XRay依赖于glibc和libpcap库。如果系统没有安装这些库,可以使用包管理器安装它们。 7. 完成以上步骤后,可以在终端中输入以下命令来验证XRay是否安装成功: ``` xray version ``` 如果成功安装,将会显示XRay的版本信息。 现在,XRay已经在Linux系统上成功安装。可以根据自己的需求和使用场景配置和使用XRay,进行网络流量分析和安全监测。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值