渗透测试工具—xray

最新推荐文章于 2024-05-09 18:07:31 发布
最新推荐文章于 2024-05-09 18:07:31 发布
阅读量3.4k 收藏 10
点赞数 1
分类专栏: # 渗透测试工具使用篇 文章标签: 安全漏洞 渗透测试
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45307895/article/details/116227275
版权

Xray

一、Xray 支持多种漏洞检测,主要检测类型如下:

  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd-injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path-traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute-force)
  • jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf-injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • POC 框架 (key: phantasm)

二、Xray的输出格式:

在这里插入图片描述

三、运行

打开命令提示符—>cd命令进入Xray所在文件夹—>.\Xray.exe

四、三种扫描模式:

在这里插入图片描述

五、证书导入:

执行命令:.\Xray.exe genca之后会生成两个证书,将ca.crt 导入浏览器(推荐火狐),信任选项全勾选。

六、设置代理:

IP:127.0.0.1

端口:推荐使用冷门端口(如:7777)

七、代理模式使用:

1.监听端口: .\Xray.exe webscan(参数,通过 --help可查看)–listen 127.0.0.1:7777(端口) --html-ouput(输出报告格式) web.html(输出报告名)

2.第一次只从命令会生成配置文件:config.yaml,打开文件,在如图所示处添加目标URL并保存
在这里插入图片描述

其中,hostname_disallowed:下的域名后缀,是避免扫描到非授权站点。

3.运行 .\Xray.exe webscan --listen 127.0.0.1:7777 --html-ouput web.html

监听端口,

4.打开代理

5.浏览器访问目标URL,命令行中即可看到扫描数据,扫描结束后回输出web.html 报告

八、爬虫模式使用

1.命令:
在这里插入图片描述

九、服务扫描使用:

在这里插入图片描述

注意:文件的编写,一行只能写一个目标

十、扫描插件使用

在这里插入图片描述

"*“是通配符

十一、Xray与bp的联动扫描

1.开启Xray监听端口,(见上述命令)

2.打开bp,
在这里插入图片描述
在这里插入图片描述

3.浏览器中打开bp代理,然后访问目标URL,bp会抓取数据,同步到Xray

weixin_45307895
关注
  • 1
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
渗透测试培训必会工具xray扫描器反连平台的使用(三)
nvhack的专栏
01-14 804
xray反连平台常用于解决没有回显的漏洞探测的情况,最常见的应该属于 ssrf 和 存储型xss。如果你不理解上面这句话,可以先去学习一下这两个漏洞,否则这篇文章也是看不懂的。在 xray 中,反连平台默认不启用,因为这里面有些配置没有办法自动化,必须由人工配置完成才可使用。使用浏览器访问男黑客靶场xxe漏洞地址:http://www.nanhack.com/payload/xxe/xxe1.php。这里的监听地址为本机,端口7777需要我们去设置个浏览器的代理地址。修改图中位置,wq保存即可。
渗透工具-被动 Web 扫描器 xray
aming小老弟
05-24 2941
-> .\xray_windows_amd64.exe webscan --basic-crawler http:// .com
网络安全最全xray的安装及使用_xray下载安装教程(1),2024年最新不了解这些多线程的基础知识很难学懂网络安全
2401_84281594的博客
05-09 546
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
渗透测试-地基篇-Xray安装使用-联动burpsuit自动挖洞(十四)
qq_34801745的博客
11-30 7434
** 渗透测试-地基篇-Xray使用-联动burpsuit(十三) ** 作者:大余 时间:2020-11-30 简介: 渗透测试-地基篇: 该篇章目的是重新牢固地基,加强每日训练操作的笔记,在记录地基笔记中会有很多跳跃性思维的操作和方式方法,望大家能共同加油学到东西。 请注意: 对于所有笔记中复现的这些终端或者服务器,都是自行搭建的环境进行渗透的。我将使用Kali Linux作为此次学习的攻击者机器。这里使用的技术仅用于学习教育目的,如果列出的技术用于其他任何目标,我概不负责。 名言: 你对这行的兴趣,决
Xray联动burp进行渗透测试
weixin_56537388的博客
10-12 245
Xray的被动扫描发送的流量比较小,Xray可以联动burp suite 使用,将burp抓到的包发给Xray,我们只需要配置好代理一直点就行,然后查看渗透测试报告。匹配单一任意字符串,而上游代理的地址则填写 xray 的监听地址。配置浏览器和bp代理,确保bp可以抓到浏览器包,这步就不说了。进入 Burp 后,打开。添加上游代理以及作用域,这是Xray的官方文档。匹配多个任意字符串,
渗透测试培训必会工具xray扫描器的使用(一)
01-12 1441
这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。在使用 xray 的过程中只要谨记这三个部分,所有的命令行用法就看起来很简单了。接下来就让我们上路吧。如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了 5 个入口,分别是。
全版本xray漏洞扫描工具
07-02
Xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有xray 漏洞扫描器 和Radium 爬虫工具,均有多名经验丰富的安全开发人员和数万名社区贡献者共同打造而成。
最新xray1.9.11高级版下载Windows/Linux
01-15
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法效率高。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 ...
xray1.9.11(高级版)
最新发布
06-05
渗透测试使用的漏洞扫描工具xray,渗透测试人员需要可以下载,若是用来进行不当违法用途,本人概不负责!!!
Xray 1.9.3高级版
12-27
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成。 二、xray的特性 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架...
内网综合扫描工具fscan的详细使用
03-27
一款内网综合扫描工具,方便一键自动化、全方位漏扫扫描。 支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、...
漏洞扫描器 XRAY
HAKUNAMATATATTA的博客
11-27 4564
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:检测速度快:发包速度快;漏洞检测算法高效。支持范围广:大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高:编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制:通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
渗透工具】xray的安装与使用教程
qq_39972370的博客
03-20 1549
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器。
Web自动化漏洞检测工具:Xray
zizizizizi_的博客
10-19 2813
** Web自动化漏洞检测工具:Xray ** 下载地址: https : //github.com/chaitin/xray/releases Xray是一款功能强大的安全评估工具,有以下特性: 1.检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 2.代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 3.高级可定制。通过配置文件暴露了引擎的各
xray:漏洞扫描利器
zkaqlaoniao的博客
11-07 3937
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
Xray正向及反向漏洞检测
m0_55854679的博客
12-25 1959
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。全程使用无害 POC 进行探测,在确保能发现漏洞的基础上不会给业务带来严重影响,非常适用于企业内部安全建设;命令行式的免费被动扫描工具;
xray长亭是自动化Web漏洞扫描神器
计算机毕业论文源码,学生个人网页制作html源码。贴近用户做网络推广和互联网优化。
11-30 2190
xray长亭一款完善的安全评估工具,支持常见 web 安全问题扫描和自定义 。 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法效率高。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修
渗透测试工程师面试宝典(110题+答案).pdf
01-19
渗透测试工程师面试宝典(110题+答案).pdf

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值