概述
Xray是一款功能强大的安全评估工具,支持主动、被动多中扫描方式,支持常见web漏洞的自动化测试,可以灵活定义POC,功能丰富,调用简单,支持多种操作系统
特点
- 检测速度快
- 支持范围广
- 高级可定制
- 安全无威胁
- 更新速度快
支持的漏洞检测类型
- XSS漏洞检测 (key: xss)
- SQL 注入检测 (key: sqldet)
- 命令/代码注入检测 (key: cmd-injection)
- 目录枚举 (key: dirscan)
- 路径穿越检测 (key: path-traversal)
- XML 实体注入检测 (key: xxe)
- 文件上传检测 (key: upload)
- 弱口令检测 (key: brute-force)
- jsonp 检测 (key: jsonp)
- ssrf 检测 (key: ssrf)
- 基线检查 (key: baseline)
- 任意跳转检测 (key: redirect)
- CRLF 注入 (key: crlf-injection)
- Struts2 系列漏洞检测 (高级版,key: struts)
- Thinkphp系列漏洞检测 (高级版,key: thinkphp)
- POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行
下载与安装
下载地址
xray community
GitHub地址:https://github.com/chaitin/xray/releases
文档地址:https://docs.xray.cool/
支持多种操作系统安装与下载
安装
1、因为博主是Windows64位操作系统,故选择64位的安装文件
2、进行解压,发现就一个exe文件
3、使用cmd命令行定位到当前xray.exe所在的路径
运行该文件
同时xray_windows_386.exe文件的同目录下生成了config.yaml配置文件
查看xray的版本号 version
查看 帮助文档 --help
配置介绍
Xray 目录下的 config.yaml 文件包含了所有的配置信息,配置主要是五个大类:http、plugins、 reverse、mitm、basic_crawle
设置允许扫描的域名
hostname_allowed: 是允许扫描的域名,hostname_disallowed: 是不允许扫描的域名,可以使用星号(表示所有)匹配
扫描插件配置
插件配置修改主要是开启和关闭,默认是全部开启,扫描时检测全部类型的漏洞,不需要检测的漏洞类型修改为 false;扫描时也可以指定插件,如:–plugins xss,xxe,cmd_injection
发包速率限制
防止请求太快被 waf 拦截,可以将每秒请求数减小,默认每秒 500
扫描代理配置
设置代理可以与 burp suite 等其他软件联动使用
代理模式
1、生成ca证书
xray_windows_386.exe genca
2、向浏览器导入ca证书
选择ca证书的所在路径
信任证书
结束
3、设置浏览器的代理
4、运行xray,进行监听
xray_windows_386.exe webscan --listen 127.0.0.1:7777 --html-output test.html
webscan web页面的漏洞检测
--listen 监听
--html-output 输出html格式
访问dvwa的sql注入模块
xray变化
结束 CTRL+c
3、打开test.html,查看生成的报告
爬虫模式
xray可借助爬虫进行漏洞检查
xray_windows_386.exe webscan --basic-crawler http://127.0.0.1/bc/DVWA/vulnerabilities/sqli/?id=2&Submit=Submit# --html-output 111.html
webscan web页面扫描
--basic-crawler 基础爬虫
Xray + BurpSuite
burpsuite 作为 Xray 的上游代理(抓取Xray 发包)
即:浏览器 -> Xray -> burpsuite -> 服务器端
此方式可以方便查看Xray扫描网站所发的数据包,而且也可以测试poc是否正确
Xray 作为 burpsuite的上游代理(协助测试)
即:浏览器 -> burpsuite -> Xray -> 服务器端文章来源:https://www.toymoban.com/news/detail-408298.html
此方式可以方便想测哪里就测哪里,想测试就发送给Xray,不想可以把数据包丢掉文章来源地址https://www.toymoban.com/news/detail-408298.html
到了这里,关于Xray简单使用的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!