Xray和AWVS联动实现主动扫描

最新推荐文章于 2025-07-28 16:07:26 发布
原创 最新推荐文章于 2025-07-28 16:07:26 发布 · 4.8k 阅读 · 15 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#测试工具 #网络安全

本文介绍了如何利用社区版Xray和AWVS13进行网站安全扫描。通过配置Xray作为代理,结合AWVS的爬虫功能,实现更高效的漏洞检测。操作步骤包括设置Xray监听端口,配置AWVS使用代理进行扫描,然后等待两者完成扫描并生成报告。尽管Xray的部分高级功能需付费,但这种结合方式能充分利用免费资源。

前面讲到了 BS 联动 Xray 实现方便的查找改动.指路Xray和BS联动扫描


如果我想利用社区版 Xray 进行爬虫爆破子域名或者各种文件后缀,不好意思,这些功能得付费才能使用


但是我们又知道 AWVS 的爬虫功能又很厉害,那么我们能不能将二者结合起来呢?


所以,我们还得利用代理,将 WEB 界面从 AWVS 过一遍, 再从 Xray 过一遍

使用的软件:

  1. AWVS13
  2. Xray
  3. Windows Terminal

操作步骤

  1. 为 Xray 配置监听端口

如果不知道 Xray 是怎么使用,可以看我上一篇文章,点击这里这里可以跳转哟

  1. 打开 AWVS ,这里是用的开心版,具体怎么下载安装,可以去搜一下,这里就不详细说明了

默认进入网站是 127.0.0.1:3443 ,前提是你没有修改端口

  1. 有请我们的老朋友 PikaChu 和 小皮助手

  1. 为 AWVS 部署要搜索的网站

添加要检测的网站


IP和端口 由你怎么部署网站而定

点击右上角的 SAVE

  1. 为 AWVS 设置代理

上一步点击代理后,就会跳到另一个界面

划到底部就会看见 HTTP

点击 Proxy Server 就会展开

里面的 IP 和端口号是根据你在 Xray 设置的监听 IP 和端口设置的

先点击 SAVE

然后点击 Scan

如果没有特殊要求点击 Create Scan 即可

如果成功会出现下面箭头的内容

与此同时, Xray 也监听到内容开始扫描

只需耐心等待即可,结束后 Xray 会有 HTML 报告, AWVS 会有网页报告

AWVS 完成应该如下图,出现 completed

这里要提醒一点, AWVS 结束, Xray 不一定结束

我本人猜测 Xray 负责记录AWVS浏览过的界面,不对经过的流量逐个检测,而是对记录下来的进行逐个检测,这样便不会影响到 AWVS 的进度

AVWS+Xray联动(详细版)
xj28555的博客
04-30 4598
正文 awvs的爬虫很厉害,xray扫描能力更强,而且xray的社区版不能爆破子域名。awvs+xray联动就互相取长补短了。 首先安装AWVS(这里用的是AWVS13破解版,软件在文末),具体破解版安装,压缩包里面有文档,这里就不再详细叙述了。安装好界面如下。 安装好后我们就在Xray(社区版,软件在文末)开启监听。 python xray.exe webscan --listen 127.0.0.1:8888 --html-output 456.html 然后...
白帽子挖洞第IV篇作业--谈谈xrayawvs联动笔记
qq_29437513的博客
11-05 1122
xray在2021年11月更新到了1.8,由于之前的1.7已经被crack,这里环境就用1.7 一:xray的相关命令 xray的核心命令 01代理被动扫描(重点) xray.exe webscan --listen 127.0.0.1:7777 --html-output xx.html 02.爬虫扫描(不建议) xray.exe --basic-crawler http://example.com 03.指定插件扫描 –plugins xss,cmd_injection 加载本地 /xxx/ 目录所
Xray+awvs联动扫描
wutiangui的博客
11-02 886
设置完后点全部扫描xray那边就可以开始接收awvs的爬虫结果进行扫描了。然后准备目标csv文件,每行一个url或ip然后加个逗号。对导进来的每个目标点进去设置代理。接着awvs导入csv。首先xray开启监听。
WAF绕过-漏洞发现-AWVS+Xray+Goby+sqlmap-绕过waf
最新发布
ice_99的博客
07-28 410
Web Application Firewall(web应用防火墙),一种公认的说法是"web应用防火墙通过执行一系列针对HTTP/HTTPS的安全策略来专门为web应用提供保护的一款产品。
awvsxray联动
温和的跳跃
08-21 2546
linux 上 docker 安装 awvs sudo docker search awvs14 sudo docker pull secfa/docker-awvs sudo docker run -d -p 3443:3443 --name awvs14 secfa/docker-awvs 然后本地 127.0.0.1:3443 就可以看到 awvs了,登陆 默认账号是admin@admin.com 默认密码是 Admin123 xray 直接Github 下载 下载好以后解压 先运行.
Xray与burpsuite、AWVS联动
向阳-Y.的博客
03-13 2351
Xray与burpsuite联动 1.在burpsuite依次选择User options—>Upstream Proxy Servers—>Add然后选择OK. *号表示所有主机 proxy hostproxy port为本机地址本机端口 2.勾选启用上这一行 3.运行xray,就联动成功啦 xray_windows_amd64.exe webscan --listen 127.0.0.1:6666 --html-output 1.html XrayAWVS联动 1.添加一个
Xray配合awvs漏洞扫描
weixin_50464560的博客
07-28 2131
转载:https://cloud.tencent.com/developer/article/1680559 xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。高级可定制。通过配置文件暴露了引擎的各种参数,
漏洞发现-Xray+Awvs联动-Goby+Xray+Awvs+Vulmap联动
xiaoheizi的博客
07-27 2084
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。Xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持Windows /macOS /Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。点击保存(save)
XRAY与Burp、AppScan、AWVS联动
LuckySec
06-03 6972
PS:欢迎访问我的个人博客 http://luckyzmj.cn 0x01 XRAY 扫描xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。 GitHub地址:https://github.com/chaitin/xray 官方文档:https://xray.cool/xray/#/tu
AWVS+BP+XRAY三层联动RAD/BP/浏览器+XRAY二层联动
LfanBQX的博客
06-05 1771
本报告详细记录了使用AWVS(Acunetix Web Vulnerability Scanner)、Burp SuiteXray进行的漏洞扫描结果。旨在帮助开发团队识别修复系统中的安全漏洞,提升整体安全性。AWVS(Acunetix Web Vulnerability Scanner):专业的Web应用漏洞扫描工具,能够识别包括SQL注入、XSS在内的多种Web漏洞。Burp Suite:广泛使用的Web应用安全测试工具,集成了拦截代理、扫描器、渗透测试工具等功能。
awvs13_batch_py3:针对AWVS扫描器开发的批量扫描脚本,支持联动xray,burp,w13scan等被动批量
03-20
AWVS批量扫描脚本 脚本功能 完美支持AWVS13,AWVS12两个版本的API接口 支持URL批量添加扫描 支持对批量网址添加cooKie凭证进行爬虫扫描 支持结合被动扫描器进行配置扫描,如: xray , w13scan , burp等扫描器 支持一键删除所有任务 通过配置awvs_config.ini文件,支持自定义各种扫描参数,例如:爬虫速度,排除路径(不扫描的目录),各种cookie ,限制为仅包含地址子目录 支持对扫描器内已有目标进行批量扫描,支持自定义扫描类型 使用教程 1,配置好当前当前的awvs_config.ini文件 2,使用Python3运行awvs_add_url-v2.0.py 现在就可以根据自己需求进行扫描awvs12批量添加并设置唯一爬虫,配置好cookie等参数,发送到xray扫描扫描 AWVS安装 推荐使用Docker进行部署,个人也比
awvsxray、burp安装使用手册集合.doc
04-27
本人学习中亲自整理awvsxray、burp安装使用手册
rad-xray:xray+rad批量主动扫描
05-03
rad-xray xray+rad批量主动扫描 Usage: 社区版用户 url一行一个放url.txt中,rad放同文件夹 xray开启监听, ./xray webscan --listen 127.0.0.1:7777 --html-output report__datetime__.html 运行py python3 rad+xray.py 高级版用户 url一行一个放url.txt中 browserscan.pyxray.exerad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习的人 本人从github大佬项目中学到了很多 若用本人项目去进行:HW演练/红蓝对抗/APT/黑产/恶意行为/违法行为/割韭菜,等行为,本人概不负责,也与本人无关 本人已不参
xray与dirsearch、burpsuite、awvs之间的联动扫描
Aevery的博客
03-03 7440
1、xray与dirsearch 让dirsearch充当爬虫的角色,xray对其传入的流量进行扫描 a、首先访问我们的测试网站正常 b、启动xray,在浏览器中设置好代理,xray主动扫描所点击的网页 xray_windows_amd64.exe webscan --listen 10.30.20.68:7777 --html-output 2022.html c、因为我的dirsearch运行在kali上,所以代理中使用的IP为本机的IP地址 python3 dirsearch.py
awvs联动python批量扫描
读书 买花 长大
08-19 950
awvs
漏洞发现:AWVS 联动 XRAY 图形化工具.(主动+被动 双重扫描
网络安全领域___专研者.
03-27 882
漏洞发现是网络安全领域的关键环节,指通过技术手段识别计算机系统、网络设备或软件中存在的设计缺陷、配置错误或代码漏洞的过程。这些漏洞可能被攻击者利用,导致数据泄露、服务中断或权限提升等风险。
Burpsuite+xray+AWVS联动 -- 小黑驿站超细教程
G_WEB_Xie的博客
03-30 1204
渗透测试少不了的是利用工具,但是很少人去考量工具间的联动用法,上次更新了app小程序测试联动burpsuite,这次就讲一下一些渗透过程中的常用工具的联动使用吧。
漏洞发现:AWVS 联动 Burp Suite 联动 XRAY 图形化工具.(主动+中转+被动 三重扫描
网络安全领域___专研者.
03-27 918
漏洞发现是网络安全领域的关键环节,指通过技术手段识别计算机系统、网络设备或软件中存在的设计缺陷、配置错误或代码漏洞的过程。这些漏洞可能被攻击者利用,导致数据泄露、服务中断或权限提升等风险。
Qaseem安全团队- 躺着挖洞之awvs批量扫描联动xray
qq_29437513的博客
01-30 4912
坐在家里躺着等漏洞上门
awvsxray与burp联动扫描
02-26
### 配置AWVSXRay与Burp Suite进行协同漏洞扫描 #### 使用Burp Suite作为中间件实现流量转发 为了使AWVSXRay能够通过Burp Suite进行协同工作,可以利用Burp Suite强大的代理功能来捕获重定向HTTP/HTTPS请求。这允许安全测试人员查看由其他工具发起的每一个网络请求,并对其进行分析或修改。 - **配置浏览器以使用Burp Suite代理**[^2] 确保已正确设置了浏览器或其他客户端应用指向本地运行的Burp Proxy服务端口,默认情况下为`127.0.0.1:8080`。这样做的目的是让所有的Web流量都经过Burp Suite处理后再发送给目标服务器。 #### 设置AWVS与Burp Suite协作 对于Acunetix Web Vulnerability Scanner (AWVS),可以通过其内置选项指定外部代理服务器地址,在此场景下即指代本机上的Burp实例: - 进入AWVS界面中的“Settings -> Scan Settings”,找到“Proxy Server”部分; - 输入主机名/IP(`localhost`) 端口号 (`8080`); - 启用SSL/TLS解密支持以便于更深入地审查加密通信内容; ```bash # Example of configuring proxy settings within AWVS GUI interface. Host: localhost Port: 8080 Enable SSL Decryption: Yes ``` #### 整合XRay与Burp Suite的工作流程 针对Xray这款开源的安全检测框架而言,则需调整命令行参数使其输出结果可通过监听接口被截取下来再传送给Burp: - 当执行Xray时加入如下所示的相关参数: ```bash xray webscan --listen http://127.0.0.1:7777 --html-output report.html \ --http-client-proxy "http://127.0.0.1:8080" ``` 上述指令使得Xray会尝试连接至位于同一台机器上监听着特定端口的服务程序(这里假设是Burp),并将所有产生的数据包交给它来进行进一步的操作。 #### 实现综合性的自动化攻击向量探索 一旦成功建立了以上提到的各种组件之间的联系之后,就可以充分利用像Intruder这样的高级特性[^3],创建自定义负载列表用于暴力破解登录表单或者其他可能存在的注入点位等操作。同时也可以考虑编写一些脚本来自动触发多个工具间的交互过程从而提高效率。
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值