Xray基础使用介绍

最新推荐文章于 2024-05-09 18:08:09 发布
最新推荐文章于 2024-05-09 18:08:09 发布
阅读量1.4w 收藏 8
点赞数 3
分类专栏: 渗透测试工具 文章标签: 渗透测试 扫描测试工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44805159/article/details/120688872
版权

官方使用文档:
https://docs.xray.cool/
#xray简介
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:

  • 检测速度快。发包速度快; 漏洞检测算法高效。
  • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
  • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
  • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
  • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:

  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd-injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path-traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute-force)
  • jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf-injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • POC 框架 (key: phantasm)

其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
下载地址:
Github:https://github.com/chaitin/xray/releases
image.png

  • darwin_amd64 苹果系统
  • linux_386 Linux x86
  • linux_amd64 Linux x64
  • windows_386 Windows x86
  • windows_amd64 Windows x64
  • sha256.txt校正文件,内含个版本的sha256的哈希值,请下载后自行校正以防被劫持投毒。
  • Source Code 为Github自动打包的,无意义,请忽略。

运行:
下载对应系统的版本后,解压缩zip文件,Linux / Mac用户在终端(终端)运行,Windows用户请在Powershell或其他高级Shell中运行,在CMD中运行可能体验不佳。
image.png

  • mitmrestrictionhostname_allowed 增加 testphp.vulnweb.com
mitm:
  ...
  restriction:                          
    hostname_allowed:                   # 允许访问的 Hostname,支持格式如 t.com、*.t.com、1.1.1.1、1.1.1.1/24、1.1-4.1.1-8
    - testphp.vulnweb.com

因为我们的测试目标站就是 [http://testphp.vulnweb.com](http://testphp.vulnweb.com),增加这个过滤之后,xray 将只会扫描该站的流量,避免扫描到非授权目标站点。

  • 设定漏洞扫描结果的输出,这里选择使用 html 文件输出,所以命令行后面要增加 --html-output xray-testphp.html
  • xray 配置文件中默认不允许扫描 gov 和 edu 等网站,如果想对这些网站进行授权测试,需要移除 hostname_disallowed 的相关配置才可以。严禁未授权的测试!否则后果自负。

开始扫描:

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

开始扫描
然后就可以看到 xray 界面开始输出漏洞信息,下面是几个快速链接,可以点击用于体验更多的漏洞类型的扫描
image.png
更多的漏洞类型的扫描
[外链图片转存中…(img-uBuaiwX8-1633856890582)]

雨雾_雨屋
关注
  • 3
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
xray——详细使用说明(二)
记录并分享学习安全的知识点..
01-14 1850
前言:上一篇文章已经基本介绍xray支持的漏洞检测类型和框架结构,下面主要介绍xray使用具体的命令参数。详细可参考上一篇链接: xray——详细使用说明(一)_xiaofengdada的博客-CSDN博客 一、服务扫描 检测单个目标 ./xray servicescan --target url 检测多个目标 ./xray servicescan --target 文件路径 将结果输入到html/json报告中 ./xray servicescan --target url --.
Xray 使用手册
m0_65267037的博客
04-16 1988
列出插件指定运行的插件,用逗号分隔指定运行的POC,用逗号分隔指定POC运行等级,用逗号分隔同上监听指定地址(如本地1111端口,需要提前在浏览器或bp设置相应的代理)使用基本的爬虫爬取目标并扫错请求使用浏览器爬虫爬取目标并扫错请求从本地文件中获取要扫描的URL并扫描,每行一个URL从bp导出的文件里读取请求作为目标扫描一个单一的URL通过POST方法发送数据字符串从文件中加载原始的http请求强制原始请求使用SSL/HTTPS输出以json格式输出xray报告。
Xray简单使用
WX公众号-小白学安全
10-26 2万+
概述 Xray是一款功能强大的安全评估工具,支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统 特点 检测速度快 支持范围广 高级可定制 安全无威胁 更新速度快 支持的漏洞检测类型 XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd-injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path-traversal) XML
网络安全最全xray的安装及使用_xray下载安装教程,含小米、腾讯、阿里
最新发布
05-09 577
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
xray 的安装及使用(入门)
m0_55096665的博客
08-05 3724
这里写自定义目录标题欢迎使用Markdown编辑器新的改变功能快捷键合理的创建标题,有助于目录的生成如何改变文本的样式插入链接与图片如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,丰富你的文章UML 图表FLowchart流程图导出与导入导出导入 欢迎使用Markdown编辑器 你好! 这是你第一次使用 Markdown编辑器 所展示的欢迎页。如果你想学习如何使用Mar
Xray 安装与使用心得
diaobusi的博客
06-14 4539
存中…(img-kZZrq75U-1686719487446)]在burp suite上配置好我们刚才在xary设置的Ip和端口,点击run运行[外链图片转存中…(img-e9HVVsk2-1686719487447)]当我们访问我自己的靶机的时候,xray的被动扫描就已经开始了[外链图片转存中…(img-rpL1taDX-1686719487447)]已经被动扫描到多条漏洞,我们在看看保存的文件有哪些内容[外链图片转存中…(img-x9GGihkP-1686719487447)]
Xray是什么
2023年最新地推相关信息
10-19 4003
Xray 项目已经确定独自运作,根据测试数据,服务端 direct + 客户端使用 splice 后性能比 VLESS 裸奔还要强上一倍,已经远超 trojan/trojan-go,本文的 Xray 一键安装脚本可以配置常规 VLESS 协议,VLESS+TCP+XTLS / VLESS+TCP+TLS / VLESS+WS+TLS 等多种组合,支持 CentOS 7+、Ubuntu 16+、Debian 8+ 及新版系统。V2ray 主要负责网络协议和功能的实现,既可以单独运行,也可以和其它工具配合。
Xray使用教程
qq_45955869的博客
05-29 633
设置浏览器 http 代理为http://127.0.0.1:7777,然后使用浏览器访问网页,就可以自动分析代理流量并扫描。默认情况下,将会启用所有内置插件,可以使用下列命令指定本次扫描启用的插件。–html-output 输出html格式。–basic-crawler 基础爬虫。webscan web页面的漏洞检测。webscan web页面扫描。选择64位的安装文件。–listen 监听。
工具之xray使用教程
热门推荐
shy的博客
11-04 6万+
xray扫描器 xray是一种功能强大的扫描工具。xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有 xray 漏洞扫描器和 Radium 爬虫工具,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。 下载地址 https://github.com/chaitin/xray/releases 版本选择 darwin_amd64苹果系统 linux_386Linux x86 linux_amd64Linux x64 windows_386...
xray批量扫描Python脚本
05-26
使用python语言编写的,xray附件工具,可以实现针对大量url进行批量扫描。 1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴...
xray1.9.1高级版
09-27
xray x -t example.com/24 # 扫描80,443端口 xray x -t example.com -p 80,443 # 扫描全端口 xray x -t example.com -p - # 不进行漏洞扫描(或在配置中禁用vuln-scan插件) xray x -t example.com -skip-web 新增...
xray最新版.zip
01-09
最新版的xray,渗透测试人员需要可以下载,若是用来进行不当违法用途,本人概不负责!!!
Xray基础知识PPT课件.pptx
10-10
【X射线的基础知识】 X射线是一种在1895年由德国物理学家伦琴发现的电磁辐射,它具有较高的能量和较短的波长,因此具有较强的穿透能力。X射线机的发展经历了多个阶段,从最初的离子X射线管到现代的数字X射线系统,...
Xray基础知识学习教案.pptx
09-30
Xray基础知识学习教案.pptx
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 5831
【漏扫工具】XRAY使用
(2022最新)Xray、Rad两款工具的使用与联动
qq1140037586的博客
12-14 7027
rad高速爬虫代理代理给xray实现快速扫描、爬虫是xray的弱项,通过rad便可以实现更高效的扫描
独立部署Xray反练平台——详细说明加举例xxe漏洞
记录并分享学习安全的知识点..
01-08 6630
一、xray简介 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。安全无威胁。xray 定位为一款安全辅助评估工具,而不
xray——详细使用说明(一)
记录并分享学习安全的知识点..
01-12 6787
一、概述 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助
漏洞扫描神器Xray,从入门到使用
m0_61568580的博客
03-16 2210
几十年来,安全工具的交替演进为网络安全进化历史中增添了不少色彩,其中漏洞扫描工具也愈发突出。
xray使用方法Windows
03-24
Xray是一款用于网络安全测试和漏洞扫描的工具。它可以帮助用户发现应用程序中的安全漏洞,并提供相应的修复建议。以下是在Windows系统上使用Xray的基本方法: 1. 下载Xray:首先,你需要从Xray的官方网站或GitHub页面上下载Xray的Windows版本。 2. 安装Xray:下载完成后,解压缩文件并将其安装到你选择的目录中。 3. 配置Xray:在Xray的安装目录中,你可以找到一个名为config.yaml的配置文件。你可以使用文本编辑器打开该文件,并根据需要进行配置。配置文件中包含了一些重要的设置,如目标URL、扫描策略等。 4. 运行Xray:在命令行中进入Xray的安装目录,并执行以下命令来启动Xray: ``` xray.exe webscan --url 目标URL ``` 其中,"目标URL"是你想要扫描的网站或应用程序的URL。 5. 分析扫描结果:Xray将开始扫描目标URL,并在扫描完成后生成一个报告。你可以在Xray的安装目录中找到该报告,并使用浏览器或文本编辑器打开它,以查看扫描结果和漏洞详情。 请注意,以上只是Xray的基本使用方法。Xray还提供了许多其他功能和选项,如指定扫描策略、设置代理等。你可以参考Xray的官方文档或在线资源,以了解更多关于Xray的详细信息和高级用法。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

雨雾_雨屋

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值