day3 漏扫工具xray和goby

已于 2024-09-06 16:58:02 修改
阅读量889 收藏 23
点赞数 21
文章标签: 网络安全
于 2024-08-29 22:56:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_65333372/article/details/141652701
版权

1.安装xray 实现对皮卡丘靶场的主动和被动扫描(需要输出扫描报告)

1.xray安装

1.下载

选择自己适配的版本安装

下载解压后在目录下打开cmd,运行.\xray_windows_amd64.exe version查看 xray 的版本号,第一次会报错,报错后目录下会自动更新相关文件,再次运行.\xray_windows_amd64.exe version即可正常查看 xray 的版本号

2.生成证书

运行 .\xray_windows_amd64.exe genca。运行命令之后,将在当前文件夹生成 ca.crt 和 ca.key 两个文件。

3.安装证书

双击 ca.crt,然后按照下图的步骤操作。

2.xray 实现对皮卡丘靶场的主动扫描

爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意。

启动phpstudy相关服务,在xray目录下打开cmd,输入命令.\xray_windows_amd64.exe webscan --basic-crawler http://127.0.0.1/pikachu --html-output activescanning.html,activescanning.html是我设置的保存为这个文件。

过程会比较久,等待即可。

双击打开activescanning.html,这就是生成的扫描报告。

3.xray 实现对皮卡丘靶场的被动扫描

代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。

启动phpstudy相关服务,在xray目录下打开cmd,输入命令.\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989 --html-output passivescanning.html,passivescanning.html是我设置的保存为这个文件。

需要尽可能多的在127.0.0.1.pikachu进行点击操作,多递交一些POST请求,这样才能扫到东西。并且被动扫描模式适用于需要持续监控流量的场景,所以和主动扫描不同,它不会自动结束,需要手动停止它来结束扫描并生成最终的扫描报告。ctrl+c退出扫描。

双击打开passivecanning.html,这就是生成的扫描报告。

2.安装goby,实现对皮卡丘靶场的扫描,无法安装的同学可以安装windows虚拟机,在虚拟机中进行操作

安装好goby后点击goby.exe直接就可以使用。

3.加分项:实现xray和burpsuite联动扫描

1.BurpSuit 配置上游代理

2.浏览器设置代理

3.使用xray被动扫描 .\xray_windows_amd64.exe webscan --listen 127.0.0.1:8989同时也打开BP监听

blossom31
关注
  • 21
    点赞
  • 23
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
goby主机(服务器)漏洞扫描工具
07-22
实战性:关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(不关注漏洞库的数量) 体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发。 高效性:利用积累的规则库,全自动的实现IT资产攻击面的梳理;效率提升数倍,发包更少速度更快、更精准; 平台性:发动广泛的安全人员的力量,完善上面提到的所有资源库;包括基于社区的数据共享,插件发布,漏洞共享等; 艺术性:美观度高,家带来感官上的享受。 ———————————————— 版权声明:本文为CSDN博主「黑色地带(崛起)」的原创文章,遵循CC 4.0 BY-SA版权协议,转载请附上原文出处链接及本声明。 原文链接:https://blog.csdn.net/qq_53079406/article/details/124646948
Goby的使用 漏洞扫描工具
Lu__xiao的博客
12-18 9183
获取自己虚拟机的ip 打开Goby 点击扫描 输入虚拟机的IP地址 开始扫描 扫描结束这里没有扫到漏洞 点击报告查看报告 右上角下载生成报告 漏洞举例
自动化扫描网站漏洞及利用(探针)
最新发布
m0_73767377的博客
06-17 800
基于Goby,AWVS,nmap,nessus的自动化扫描网站漏洞和基于MSF等的漏洞利用
goby-win-x64-1.4.46漏洞扫描工具
12-12
扫描器,可以基于主机及应用进行扫描, 扫描器后起新秀,扫描功能齐全。简单易用。 界面美观大方,安全工程师必备武器之一。
Goby:基于网络空间测绘的漏洞扫描器-徐庆臣(黑客洗白者)
清晨码农的专栏
08-27 257
Goby 是一款国内新出的安全扫描器,它基于网络空间测绘技术进行资产收集,也就是先通过对目标网络的 IT 资产进行规则分析,建立知识库,在发生安全事件时就能直接用于应急响应,这项功能比较适合企业内部。Goby 有个比较实用的功能,那就是支持自定义规则的漏洞扫描框架。它本身也会收集一些产品的PoC(概念证明,常被用于验证是否存在漏洞,如下图所示),同时在外部曝光或自主挖掘到漏洞时,借助该框架添加规则,可以快速去扫描相关资产是否存在漏洞,对于企业应急和个人刷 SRC 平台漏洞是一个神器。
漏洞扫描工具
qq_44021627的博客
07-03 1300
支持主机存活探测、端口扫描、常见服务的爆破、ms17010、redis批量写公钥、计划任务反弹shell、读取win网卡信息、web指纹识别、web漏洞扫描、netbios探测、域控识别等功能。在浏览器配置代理,在浏览器扩展中搜索proxy SwitchyOmega并添加。按照如图设置,端口号设置一个平常不使用的,并设置一个名字,点击应用选项保存。从命令行进入安装xray的目录下,输入以下命令启动xray。打开浏览器代理,代理开启后xray会监听在此界面的网页。4.下载安装 proxifier。
渗透测试之漏洞发现(工具
qi_SJQ_的博客
01-23 1846
一、操作系统 1.扫描发现漏洞(工具): Goby 使用手册:https://cn.gobies.org/docs.html Nmap(更推荐命令行的,图形化的功能不够全) Nmap扩展默认在scripts文件夹下,其他第三方扩展下载: 插件下载: https://github.com/scipag/vulscan https://github.com/vulnersCom/nmap-vulners 博客:https://www.cnblogs.com/shwang/p/1262366.
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具
weixin_46280935的博客
09-10 5523
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
2019年度优秀安全内容合集
热门推荐
anquanzushiye的博客
01-06 3万+
2019信息源与信息类型占比微信公众号推荐昵称_英语weixin_no标题网址安全祖师爷PowerShell渗透–帝国https://mp.weixin.qq.com/s/giBR-rn...
DATA2001 期末知识点概括Week 2 - Week 12
weixin_43773228的博客
06-19 3363
DATA2001 期末知识点概括 文章目录DATA2001 期末知识点概括前言week 2 Data Analysis with PythonCategorical Data 前言 每周考点大多来自于学校lecture,有的小细节没有总结上,希望补充说明。 week 2 Data Analysis with Python Categorical Data ...
漏洞扫描工具Goby的安装和使用(新一代网络安全技术)
黄乔国PHP
04-19 3994
自动探测当前网络空间存活的IP。
Goby新一代网络安全工具
01-06
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。我们希望通过智能自动化方式,帮助安全入门者熟悉靶场攻防,帮助攻防服务者、渗透人员更快的拿下目标。 Goby主要特性: 实战性:Goby并不关注漏洞库的数量有多么多,而是关注真正用于实际攻击的漏洞数量,以及漏洞的利用深度(最小精准集合体,打造权威性); 体系性:打通渗透前,渗透中,以及渗透后的完整流程完整DOM事件收集,自动化触发。 高效性:利用积累的规则库,全自动的实现IT资产攻击
Go-XRay是一个用于从公共网络侦察映射和OSINT收集的工具
08-14
XRay是一个用于从公共网络侦察,映射和OSINT收集的工具
【漏洞扫描】网络空间安全工具Goby 快速入门使用指南
qq_47493625的博客
02-15 4469
Goby是一款基于网络空间测绘技术的新一代网络安全工具,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。Goby可提供最全面的资产识别,目前预置了超过10万种规则识别引擎,能够针对硬件设备和软件业务系统进行自动化识别和分类,全面的分析出网络中存在的业务系统。Goby可提供最快速对目标影响最小的扫描体验,通过非常轻量级地发包能够快速的分析出端口对应的协议信息。Goby也为安全带来了高效,Goby预置了最具攻击效果的漏洞引擎,覆盖Weblogic,Tomcat等最严重漏洞。
Qt 渗透测试 | 【Goby】自动化漏洞扫描工具介绍、下载、使用、功能
m0_45463480的博客
05-30 602
Qt 渗透测试 | 【Goby】自动化漏洞扫描工具介绍、下载、使用、功能
Goby】自动化漏洞扫描工具介绍、下载、使用、功能
05-08 1万+
漏扫工具Goby
自动化漏洞扫描工具Goby介绍、下载、使用、插件、功能
huangjun的博客
06-08 1万+
在漏洞页面中右上角点击+POC即可自定义POCPoC管理两个页面,一个是漏洞信息,一个是测试。先来看看这三个输入框,名称、查询规则、等级。以Apache Kylin config 未授权配置泄露漏洞为例。名称是这个Poc的漏洞名称,比如Apache Kylin config 未授权配置泄露。查询规则app=Apache Kylin config。(这里的规则可以参考fofa语句)。等级分为严重,高危,中危,低危。再来看看测试页面。再来配置下请求包HTTP请求方法:GET。
自动化漏洞扫描工具goby安装使用教程
爱玩游戏的黑客的博客
11-23 3106
自动化漏洞扫描工具goby
网络工程师必会的新一代网络安全工具Goby安装、子网扫描、资产收集、漏洞扫描与报告生成介绍
wuli1024的博客
01-22 5177
Goby是一款基于网络空间测绘技术的,它通过给目标网络建立完整的资产知识库,进行网络安全事件应急与漏洞应急。
漏扫工具xray下载
09-07
漏扫工具xray是一款专业的Web应用漏洞扫描器,可以帮助开发人员和安全研究人员识别并修补Web应用程序中的漏洞。下面是关于xray如何下载的相关信息。 首先,你可以通过访问xray官方网站来下载xray漏扫工具。在官网的下载页面上,你可以找到最新版本的xray漏扫工具。选择适合你操作系统的版本,比如Windows、Linux或者MacOS,并点击下载按钮。 另外,xray也提供了一个开源社区版本,可以在GitHub上找到。你可以在GitHub的xray项目页面上找到源代码和发布的版本。如果你是一个开发人员或安全研究人员,你可以从这里下载源代码,并根据自己的需求进行自定义编译和安装。 无论你选择哪种方式进行下载,记得要确保从正规渠道下载,避免下载到捆绑有恶意软件的假冒版本。 下载完成后,你可以按照官方提供的安装指南进行安装和配置。通常,你需要解压下载的文件,并按照文档中的说明进行配置和设置。确保你已经按照要求安装了必要的依赖项和运行环境。 完成安装和配置后,你就可以使用xray来进行漏洞扫描了。通过命令行或图形界面工具,你可以输入目标URL或IP,并选择扫描策略和漏洞类型。然后,xray将自动进行漏洞扫描,并生成扫描报告,指出潜在的漏洞和脆弱点。 总之,xray是一款功能强大的漏洞扫描工具,通过正规渠道下载并按照官方指南进行安装和配置,你就可以充分利用它来提高Web应用程序的安全性。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值