xray与fofa联动(附脚本)

最新推荐文章于 2024-08-21 10:03:30 发布
最新推荐文章于 2024-08-21 10:03:30 发布
阅读量902 收藏 2
点赞数
分类专栏: 网络安全工具使用
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wuguojiuai/article/details/115441237
版权
本文介绍了如何利用xray与fofa进行资产收集和联动扫描。首先,通过fofa接口收集资产,导出时针对不规整的URL进行处理。接着,将整理后的资产用xray进行漏洞扫描,最后在个人的渗透测试系统中演示了如何扫描特定漏洞并导出结果。
摘要由CSDN通过智能技术生成

目录

xray与fofa联动扫描

1.fofa资产收集

2.fofa资产导出

最终代码结果:

3.xray联动扫描fofa导出结果

xray与fofa联动扫描

1.fofa资产收集

首先使用fofa接口:

https://fofa.so/api/v1/search/all?email={}&key={}&qbase64={}&size={}&page={}&fields=ip,host,port,domain,title,country,province,city,country_name,server,protocol,banner,lastupdatetime".format(email,key,str(cha_base64),size,int(fofa_page))


这个过程中我们取值IP作为导出目标:

            ips = []
            hosts = []
            ports = []
            domains = []
            titles = []
            codes = []
            for i in res['results']:
                ip = i[0]
                ips.append(ip)
了解本专栏 订阅专栏 解锁全文 超级会员免费看
小韩韩啊
关注
专栏目录
订阅专栏
web安全渗透测试工具篇(一):快速发现漏洞之漏洞综合扫描和联动
HACKONE的博客
05-24 343
Burpsuite,Awvs,Xray,Goby,Afrog,Yakit,Nuclei,Vulmap,Pocassist,Nessus,Pentestkit,Kunyu,Pocsuite3,浏览器各类插件,Burpsuite插件(HaE,ShiroScan,FastJsonScan,Log4j2Scan,Springscan,JScan等)。Acunetix一款商业的Web漏洞扫描程序,它可以检查Web应用程序中的漏洞,如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。
XrayFofa:一款将xrayfofa完美结合的自动化工具,调用fofaAPI进行查询扫描,新增爬虫爬取扫描(懒人必备)
04-22
XrayFofa :party_popper::party_popper::party_popper: 一款将xrayfofa结合运行的脚本,配置方法参考了piaolin大佬写的 增加了一些自己的想法(望指正),点个小星星支持一下吧:rose::rose::rose: XrayFofa git克隆下载:git clone 克隆下载需安装第三方库: python3 -m pip install requests pyyaml lxml 更新 1.4.0 修复了普通会员启动时出bug(fofa普通会员只能API查询数据100条的硬性规定我是真的无能为力,只能提醒一下一下啦) 增加了xray plugins的自定义模式,可以随意自定义自己需要的plugins 1.3.0 修复了fofa API 调用问题(应该没啥问题了) 对代码进行了简单的优化,fofa API 连不上时不会出现 报错一堆的情况了 1.2.0 更新 fofareptile 功能,使用python爬虫爬取fofa搜索结果,利用fof
漏洞挖掘fofa+xray
09-25
fofa+xray批量刷洞脚本,非常有用,fofa+xray批量刷洞脚本敬请期待特别好,fofa+xray批量刷洞脚本
XrayR 项目使用教程
最新发布
gitblog_00599的博客
08-21 411
XrayR 项目使用教程 XrayR-releaseXrayR 一键脚本以及docker部署项目地址:https://gitcode.com/gh_mirrors/xra/XrayR-release 1. 项目的目录结构及介绍 XrayR 项目的目录结构如下: XrayR-release/ ├── .github/ ├── config/ ├── docs/ ├── scripts/ ├── s...
【src挖掘】fofa联动xray批量刷src
ssrf
02-16 2867
目录1、利用fofa API收集目标2、使用xray批量验证 1、利用fofa API收集目标 需要安装python2 # -*- coding: utf-8 -*- import time import urllib2 import fofa import json def write_url(urls): with open('xxx.txt','a+') as f: f.write(urls+'\n') if __name__ == "__main__": ema
探索网络边界:XrayFofa - 网络数据扫描工具
gitblog_00053的博客
03-28 452
探索网络边界:XrayFofa - 网络数据扫描工具 项目地址:https://gitcode.com/Miagz/XrayFofa 项目简介 XrayFofa 是一个基于 Python 的网络扫描工具,旨在帮助安全研究人员、开发者和渗透测试人员发现和挖掘互联网上的信息。它结合了 Xray 的强大功能与 FOFA 数据库的广泛覆盖,以高效的方式搜索并获取全球范围内的网络资产详情。 技术分析 1. ...
fofa爬虫(刷漏洞平台好方法)
课嗨教育的专栏
05-01 2286
目录 说明: 代码 配置 说明: 支持多关键词爬虫,适合于rad+xray联动。 关键词一行一个,fofa.txt文本内容为关键词,target内容为结果,直接与Xray_Rad_Fusion放在同一个目录下执行即可联动。 代码 import requests,os,sys,base64,json,re from requests.packages.urllib3.exceptions import InsecureRequestWarning requests.packages.url
fofa的功能优化
课嗨教育的专栏
04-05 861
目录 0x01 初衷简介 0x02 fofa优劣势 语法联动联动问题: 0x03 fofa最终一些改善 0x01 初衷简介 本文出于什么目的写的就不方便多说了,这个涉及到圈内某部门产品策划的需求问题,最终方案给了,被狗了一下。 0x02 fofa优劣势 Fofa本身的优势在它相关产品介绍(http://www.baimaohui.net/product-fofa)中是有体现的。那除掉这些我们站在渗透测试工程师及作为一名众测或src挖掘的赏金猎人的角度上来看fofa的利与弊。 语.
批量挖掘SRC思路与实践一
悦分享
07-07 2856
在接触src之前,我和很多师傅都有同一个疑问,就是那些大师傅是怎么挖漏洞的?与日常靶场训练不同,SRC漏洞挖掘更偏向于对业务资产的熟悉程度,除了需要掌握渗透测试的技术要点以外,可以思考一下是否在信息收集这一块做足了功夫,这是很多萌新容易忽略的点。为什么我说信息收集需要做足功夫?想象一下,一个大型网站的主站点每天将要经历多少白帽子轮番的测试。发现一个漏洞,很快就会被修复,全网白帽都在盯着这一块“香饽饽”,你想要后来者居上,事实上这就是一个非常难的事情。这个时候能怎么办?这就是我今天强调的重点了——信息收集,资
Xray脚本:(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web构造管理脚本
02-11
Xray-TLS + Web构建/管理脚本 目录 脚本特性 支持(Xray-TCP + XTLS)+(Xray-WebSocket + TLS)+ Web 集成多版本bbr /锐速安装选项 支持多种系统(Ubuntu CentOS Debian deeped fedora ...) 支持多种指令集(x86 x86_64 arm64 ...) 支持ipv6only服务器(需自行设置dns64) 集成删除阿里云盾和腾讯云盾功能(仅对阿里云和腾讯云服务器有效) 使用Nginx作为网站服务 使用Xray作为首要分流器 使用acme.sh自动申请/更新域名证书 支持选择构建个人网盘作为伪装网页 注意事项 此脚本需要一个解析到服务器的域名(支持cdn) 此脚本安装时间逐步,见 此脚本设计为个人VPS用户使用,不适合机场主使用(此脚本没有多用户管理/流量统计等功能)。 建议在纯净的系统上使用此脚本(VP
fofa2Xray:用户fofa API获取主机并进行X射线扫描以进行WebScan
04-16
fofa2Xray 一个工具,可以结合和的自动批量多线程扫描。 也可以使用Xray扫描IP /域名列表。 适用于Windows,Linux和macOS的golang编码。 文献资料 介绍 使用fofa api获取目标域列表,然后通过xray进行网络扫描。 演示版 文件模式快速入门 1.在f2Xconfig.yaml中配置Xray可执行文件地址和线程数 2.使用“ -t文件”指定为文件列表扫描模式(默认为fofa模式),-f指定IP列表文件 ./fofa2Xray -t file -f ipList.txt 3.也许有点奇怪,但是为了更好的可扩展性 Fofa模式快速入门 将Xray移至fofa2xray所在的目录 Vi f2Xconfig.yaml fofa : email : {fofa账户} key : {fofaKey} # 固定查询语句 fixedQ
Xray_bash_onekey:Xray基于Nginx的VLESS WebSocket + TLS XTLS一键安装脚本
04-06
Xray基于Nginx的VLESS WebSocket + TLS / XTLS一键安装脚本 感谢JetBrains提供的非商业开源软件开发授权。 感谢JetBrains的非商业性开源开发授权。 使用说明 可以直接输入命令: idleleo管理idleleo 。 减少直接访问,隐藏代理域名。 访问域名302撤销至 (了解配置过程可自行修改)。 阻止HTTP接访问服务器IP。 使用来自的分享链接(测试版),支持Qv2ray,V2rayN,V2rayNG。 使用来自项目的,标准,可以将自定义字符串映射至VLESS UUID。 电报分组 电报交流群: : 。 准备工作 准备一个域名,可以A记录添加好。 ,了解TLS WebSocket及Xray相关信息。 安装好wget 。 安装/更新方式(此为Xray版) VLESS + Nginx + WebSocket + TLS或VLESS +
Xray-yes:Xray安装脚本Xray安装脚本(VLESS + tcp + xtls)
03-07
X射线是的! 又一个安装Xray的shell脚本 VLESS TCP XTLS + NGINX 需要root权限 Xray回落到nginx,nginx作为布局,放置一个静态网站 使用 一致 bash -c "$(curl -L git.io/xray-yes)" 安装 bash -c "$(curl -L git.io/xray-yes)" - install 更新 bash -c "$(curl -L git.io/xray-yes)" - update 卸载 bash -c "$(curl -L git.io/xray-yes)" - remove 功能 全自动安装nginx,配置静态页面,申请证书,安装Xray X射线是的! 另一个安装Xray的Shell脚本 VLESS TCP XTLS + NGINX 需要root权限 Xray退回到nginx,后者用作存储静态网站的后端。
XRay_Trojan_Docker
04-27
Breakwall 这个项目是用于快速地使用Docker搭建breakwall服务(Vless+Vmess+Trojan) 证书 证书由Caddy获取,然后将证书的目录映射到宿主机给XRay使用 安装Docker 一键安装脚本 curl -fsSL https://get.docker.com | bash -s docker --mirror Aliyun CentOS # 获取官方源 wget -P /etc/yum.repos.d/ https://download.docker.com/linux/centos/docker-ce.repo # 安装docker ce yum install -y docker-ce # 启动、开机启动 systemctl start docker systemctl enable docker 当然如果你想指定版本安装docker也是可以的 #
白帽子挖洞第II篇作业--xray+fofa主动扫描
qq_29437513的博客
11-10 1866
在去年到今年期间,出现了fofa2xray这样通过调用fofa的api,配合xray的被动扫描,实现挖洞。 本人有幸花了点时间搭好环境,但在确定api已经调用成功后,发现无法返还数据,如图 得出的结果:也许只有开发者的脚本只有开发者才能调用。 看了fofa2xray的config源码后产生构想 简陋的源码,能不能自己通过fofa-gui导出结果然后xray扫描呢? 网上找了一下,发现真的有大佬想到一块了, https://cloud.tencent.com/developer/article/1759
一键漏扫工具 -- Crawlergo_x_Rad_x_XRAY
weixin_58782362的博客
09-29 953
配置好并启动xray被动扫描(脚本默认配置为127.0.0.1:7777)若修改端口请同时修改launcher.py文件中的proxies。因为这个项目已经被人改好了,下面这个就不用输入了,只是单独使用作为提示。生成的sub_domains.txt为爬虫爬到的子域名, crawl_result.txt为爬虫爬到的url。唯一需要一点注意的就是在xray中安装一个xray.exe,按那个txt文件写的做。把目标url写进targets.txt,一行一个url。
FofaViewer的安装与使用
wangan546912的博客
08-08 302
Fofa_Viewer: 一个简单易用的fofa客户端,由 WgpSec狼组安全团队 f1ashine 师傅主要开发。程序使用 JavaFX 编写,便于跨平台使用。多标签式查询结果展示丰富的右键菜单支持查询结果导出为excel文件支持手动修改查询最大条数,方便非高级会员使用(修改中的maxSize即可)支持证书转换 将证书序列填写入启动页框内可转换,再使用cert="计算出来的值"语法进行查询支持输入智能提示支持fofa的一键排除干扰(蜜罐)功能。(注:需要高级会员,使用时会在tab页标记)
fofa联动xray刷漏洞
09-01
FofaXray都是用于漏洞扫描和安全评估的工具,它们可以通过联动来提高漏洞发现和利用的效率。 Fofa是一个针对互联网资产进行搜索和识别的工具,可以识别并收集到大量的网络资产信息,包括域名、IP地址、端口、协议等等。Fofa通过简单的语法搜索和筛选,可以找到满足我们需求的特定目标资产。例如,我们可以使用Fofa搜索所有运行特定版本的Web服务器的IP地址,然后再使用Xray对这些目标进行漏洞扫描。 而Xray是一款功能强大的漏洞扫描工具,它能够自动化检测和验证各种网络应用的安全风险。Xray具备自动化漏洞发现、漏洞验证、漏洞利用等功能,可以帮助我们快速定位和利用目标系统的漏洞。通过联动FofaXray,我们可以使用Fofa搜索到的目标资产作为Xray的扫描目标,进一步提高漏洞扫描的效率和准确性。 具体操作上,我们可以先使用Fofa搜索并收集到需要扫描的目标资产,然后将这些资产列表导入Xray进行漏洞扫描。这样做可以避免重复扫描和减少扫描盲区,提高我们对资产的全面安全评估能力。另外,FofaXray联动还可以帮助我们实现漏洞的自动化验证和关联,提升我们对漏洞的理解和评估。 总的来说,FofaXray联动可以有效地提高漏洞扫描的效率和准确性,帮助我们更好地发现和解决安全风险,保障网络资产的安全。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

小韩韩啊

你的鼓励是对我最大的支持

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值