Xray(1)

已于 2023-11-04 20:29:40 修改
阅读量87 收藏 1
点赞数
分类专栏: 渗透工具 文章标签: web安全 网络安全 测试工具 安全
于 2023-11-04 20:29:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wwwwwhdn/article/details/134222833
版权

Xray

什么是xray

xray是一款功能强大的安全评估工具(官网地址:https://xray.cool/),Xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray漏洞扫描器和radium爬虫工具。

适用人群

1.白帽子。挖 SRC 必备,打开浏览器挂上代理,然后上网冲浪等漏洞就对了,还不够的话就把代理给你爸妈、给你妹子、给你家猫都挂上
2.甲方安全建设者。工具在手,天下我有,细粒度配置,高精度扫描,可作为定期巡检、常规扫描的辅助神器
3.乙方工具开发者。在编写渗透框架或者漏洞扫描框架时,作为扫描探针进行集成,简直是大平台中的小尖刀

基础漏洞扫描(SQL注入,XSS,命令执行,文件包含等)

测试靶场pikachu(192.168.247.138)
在这里插入图片描述

进入到xray路径下

.\xray.exe webscan --basic-crawler http://192.168.247.138/pikachu-master/ --html-output 1.html
在这里插入图片描述

.\ :使用xray

webscan --url:指定站点进行漏扫

–html -output 1.html:将扫描结果以html输出,文件名为1.html

在这里插入图片描述
在这里插入图片描述
结果已经输出
在这里插入图片描述

点击即可查看结果

点击可查看详情例如

在这里插入图片描述

在这里插入图片描述

与bp进行联动

安装证书

xray genca

在这里插入图片描述

此时目录下多出了两个证书

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

在这里插入图片描述

首先火狐浏览器添加代理
在这里插入图片描述

bp设置上游代理

在这里插入图片描述

!!!注意,bp不用开启截断

浏览器开启代理

在这里插入图片描述

打开xray输入

.\xray.exe webscan --listen 127.0.0.1:7777 --html-output 2.html

在这里插入图片描述

接下来随意点击靶场,你点哪xray扫哪里

在这里插入图片描述

在这里插入图片描述

可以查看扫出来的漏洞

在这里插入图片描述

wang2303.
关注
专栏目录
(一)Xray-的安装,入门的使用方法
m0_52027565的博客
06-06 1万+
Xray的新手教程 作为一个新接触信息安全专业的菜鸟,最近突然对Xray扫描器产生了兴趣。下面来看看我的学习路程吧! 1. 什么是Xray? 2. 关于Xray的安装及运用。 3. 关于Xray的建议 1.Xray 是什么? 首先,它是一款非常功能强大的国产被动扫描工具,是长亭科技开发的社区版漏洞扫描神器。它的应用范围非常广eg:Web 通用漏洞检测,社区 POC 集成,被动代理扫描,浏览器爬虫扫描,报告输出,子域名扫描功能,主机漏洞检测,合规/基线扫描日志扫描模式,流量扫描模式… 所以,xray是白帽子
xray批量扫描url
热门推荐
qq_42404383的博客
12-16 1万+
xray批量扫描url **思路:**从txt文本文档中按序导出url,写好系统命令后用python来依次执行命令,并生成报告到xray根目录。 示例: 代码: #author: 想学点black技术 #用法: 在bat.py的同目录下生成xray_url.txt,根据自己的需求更改scan_command即可 #time: 2020年12月16日20:27:40 #环境: python3 #说明: command中的xray路径需要手动修改,报告生成的位置在同一目录下 import os impo
xray高级版_MiSRC&xray联合活动 | 全新爬虫开放,xray 社区工具再添一员
weixin_39713538的博客
12-13 383
Rad,名字来源于放射性元素——镭,从一个URL开始,辐射到一整个站点空间。xray 社区自去年成立到现在,社区工具“ xray 扫描器”广受好评。社区为了秉持“取之社区,用之社区”的精神,现重构 xray 扫描器的爬虫功能,并作为单独的项目开放给安全白帽子。目前,rad 爬虫支持自动事件触发、定义请求头、手动登录等基础功能,且能与最新版 xray 无缝集成,满足广大安全从业者的一站式自...
burpsuite联动xray进行web安全评估
煜铭2011
12-08 4916
目录 0x00背景 0x01下载运行 下载地址 0x02自动配置xray 0x03 burp联动xray 0x04参考文档 0x00背景 xray(https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 ...
xray高级版_福利活动全新爬虫开放,xray 社区工具再添一员
weixin_39552037的博客
12-13 721
rad,全名 Radium,名字来源于放射性元素——镭,从一个URL开始,辐射到一整个站点空间。xray 社区自去年成立到现在,社区工具“ xray 扫描器”广受好评。社区为了秉持“取之社区,用之社区”的精神,现重构 xray 扫描器的爬虫功能,并作为单独的项目开放给安全白帽子。目前,rad 爬虫支持自动事件触发、定义请求头、手动登录等基础功能,且能与最新版 xray 无缝集成,满足广大...
XRay1
C.P.的博客
10-27 423
Shader "Custom/XRaySimpleVF" { Properties { _RimColor("RimColor",Color) = (1,1,0,1) _RimPower("RimPower",Range(0.1,8.0)) = 3.0 } SubShader { Tags{"Queue" = "Transparent" "RenderType" = "Op
xray使用1
sinat_30599967的博客
01-17 859
xray特性 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 漏洞检测类型 XS
xray API漏洞检测
无痕的博客
02-24 892
xray检测识别API漏洞
awvs 与 xray联动
温和的跳跃
08-21 2275
linux 上 docker 安装 awvs sudo docker search awvs14 sudo docker pull secfa/docker-awvs sudo docker run -d -p 3443:3443 --name awvs14 secfa/docker-awvs 然后本地 127.0.0.1:3443 就可以看到 awvs了,登陆 默认账号是admin@admin.com 默认密码是 Admin123 xray 直接Github 下载 下载好以后解压 先运行.
漏洞扫描工具xray+批量调用xray脚本
04-09
Xray是一款由国内团队编写的开源Web安全测试工具,主要用于检测和利用Web应用程序中的各种漏洞,包括SQL注入、XSS、CSRF、文件包含、文件上传等。它支持多种操作系统和架构,提供了GUI界面和命令行两种使用方式。 ...
xray
03-22
1. **安装与配置**:Xray可以按照官方文档提供的步骤进行安装,支持多种操作系统。配置文件通常包含扫描范围、报告格式、警报阈值等设置。 2. **扫描类型**:Xray支持多种扫描模式,包括深度扫描、快速扫描和自定义...
xray批量扫描Python脚本
05-26
1、将脚本放到xray_darwin_amd64目录(如果是其他版本的xray,需要修改脚本25行); 2、在当前目录下添加一个url.txt,将需要扫描的url粘贴进去(一行一个url) 3、执行python脚本 python3 xray单线程批量检测.py
Xray-install:安装和升级Xray的最简单方法
03-20
用于在支持systemd的操作系统(例如CentOS / Debian / OpenSUSE)中安装Xray的Bash脚本。 installed: /etc/systemd/system/xray.service installed: /etc/systemd/system/xray@.service installed: /usr/local/bin/...
网络安全 | 漏洞挖掘】隐藏的 DOS 技术
等风来
11-11 527
我调查了这些参数的用途,发现它们被传递给了第三方服务,且该服务的文档说明这些参数是安全的。你可以试试这样做:前往https://ash-speed.hetzner.com/并找到一个测试文件(大小大约1到10 GB),如果服务器等待URL请求完成,你可以通过大量此类请求来淹没服务器,从而导致它最终崩溃。于是我发送了一个包含1000个UUID的列表,结果网站在60秒后超时,并出现了显著的延迟。在我的案例中,这导致了客户网站的DOS攻击,问题被发现并快速修复,甚至在我报告漏洞之前。
等保测评怎么做?具体流程是什么?
weixin_59571541的博客
11-14 596
等保是指对信息系统进行等级化保护管理,目的是提高信息系统的安全性,防止信息泄露、篡改、破坏等安全问题。在哈尔滨进行等保测评的具体流程大致是:需求分析与准备、自评、选择测评机构、现场评估、问题整改、编写报告、报告审核与备案、持续改进。2.选择等保等级:根据系统的性质、重要性、涉及的敏感信息等,选择合适的等保等级(从1级到5级)。1.明确测评范围:首先需要确定需要进行等保测评的系统范围,包括硬件、软件、网络架构等。3.准备工作:准备相关的文档资料,包括系统架构图、设备清单、安全管理规程、系统开发/运营情况等。
等保二级需要哪些安全设备?
最新发布
bocco的博客
11-15 338
同时,还应加强安全管理措施的实施,提高员工的安全意识和能力,共同维护企业的信息安全。这些设备能够实时监测机房内的温湿度、漏水情况,一旦超出预设范围,便会自动报警,及时采取措施,确保服务器在适宜的环境中稳定运行。1. 防火墙:防火墙是网络安全的第一道屏障,能够控制进出网络的数据包,防止未经授权的访问和恶意攻击。在等保二级中,应部署下一代防火墙,其不仅具备传统防火墙的功能,还集成了入侵防御、防病毒等功能,能够更有效地保护服务器的安全。通过部署日志审计系统,可以及时发现并处理网络中的异常行为,提高网络的安全性。
网络安全 | 身份授权】一文讲清OAuth
等风来
11-11 154
(第三方应用程序):简称“客户端”(client),指的是需要访问资源的外部应用。(HTTP 服务提供商):简称“服务提供商”,指的是托管用户资源的服务。(资源所有者):简称“用户”,即拥有资源的个体或实体,需要授权客户端访问自己的资源。User Agent(用户代理):指用户用来访问服务的工具,通常指浏览器。(认证服务器):服务提供商专门用于处理认证和授权请求的服务器,负责生成授权凭证和访问令牌。(资源服务器):存放用户资源的服务器,通常和认证服务器同属服务提供商,但可以是不同的服务器。
网络安全---安全见闻2
久恙502的博客
11-11 768
拓宽视野不仅能够丰富我们的知识体系,也是自我提升和深造学习的重要途径!!!
2024年网络安全(黑客技术)三个月自学手册
csbDD的博客
11-14 717
网络安全可以基于攻击和防御视角来分类,我们经常听到的 “红队”、“渗透测试” 等就是研究攻击技术,而“蓝队”、“安全运营”、“安全运维”则研究防御技术。走安全行业的工程方向的,技术上面其实有很大的重叠性,抛开甲乙方、岗位名称、岗位职责等因素来看,作为学技术的,也根据以往我们给学员推荐就业和入职情况来看,只要好好掌握以下几种技术(网络协议与安全设备、Linux操作系统、Web服务部署/开发、主流渗透测试/安全工具、一门及以上的编程语言)中的2到3个,都可以较好的胜任工作需求。
import dask.array as da # 打开h5文件 import h5py with h5py.File(r'C:\Users\13275\Desktop\文件处理\zhuanyi\xray1.h5', 'r') as f: # 获取数据集 data = f['xray1'][:] # 将数据集转换为Dask数组 dask_data = da.from_array(data, chunks=(256, 256)) # 找到最大值的索引 max_index = da.argmax(dask_data) # 将索引转换为NumPy数组 max_index_np = max_index.compute() # 打印最大值及其索引 print("最大值为:", data[max_index_np]) print("最大值的索引为:", max_index_np) import dask.array as da # 打开h5文件 import h5py with h5py.File(r'C:\Users\13275\Desktop\文件处理\zhuanyi\xray1.h5', 'r') as f: # 获取数据集 data = f['xray1'][:] # 将数据集转换为Dask数组 dask_data = da.from_array(data, chunks=(256, 256)) # 找到最大值的索引 max_index = da.argmax(dask_data) # 将索引转换为NumPy数组 max_index_np = max_index.compute() # 打印最大值及其索引 print("最大值为:", data[max_index_np]) print("最大值的索引为:", max_index_np)
07-08
您的代码似乎是从一个HDF5文件中读取数据,并使用Dask库来处理大规模数据集。代码的功能是找到数据集中的最大值及其索引,并打印出来。 请注意,在运行此代码之前,确保已经安装了Dask和h5py库。...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值