Xray安装与使用

本文介绍了Xray,一款源自长亭洞鉴的社区版漏洞扫描工具,支持Windows、macOS和Linux系统。它具备多种扫描模式,如主动、被动扫描,以及自定义POC等功能。详细步骤包括下载、安装、证书配置、基础命令的使用,如爬虫模式、代理模式和与Burp Suite的结合使用。此外,还列举了多项内置的安全检测插件,如SQL注入、XSS、命令注入等。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1、简介

xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。

2、下载地址

根据自己系统环境下载相应版本;

https://github.com/chaitin/xray/releases

3、安装

Windows系统最好在Powellshell下运行,先cd到xray目录下然后再运行.\xray_windows_amd64.exe genca生成证书;

 4、安装证书

5、基础命令

5.1、爬虫模式:

直接调用去扫描一个指定的站点,这里使用的是一个测试专门网站:http://testphp.vulnweb.com/

.\xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ --html-output 1.html

简单验证一下xss:

 

注:不同参数对应不同的输出方式:

            无参数:输出到控制台的标准输出
            --`text-output`:输出到文本文件中
            --`json-output`:输出到 JSON 文件中
            --`html-output`:输出到 HTML 文件中

5.2、代理模式:

Xray安装证书后,设置浏览器代理:

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:4444 --html-output 2.html

 

5.3、 xray+burp:

 ①、在burpsuite中设置二级代理
在burpsuite中打开 user options标签在upstream proxy servers中点击add添加代理和端口

②、浏览器设置burp代理

③、使用burp抓包,并放给xray;

 ④、xray建立监听

监听127.0.0.1 9999端口;
.\Xray_windows_amd64.exe webscan --listen 127.0.0.1:9999 --html-output 3.html

注:插件列表:

    SQL 注入检测 (key: sqldet)
    支持报错注入、布尔注入和时间盲注等XSS 检测(key: xss)
    支持扫描反射型、存储型 XSS命令/代码注入检测 (key: cmd_injection)
    支持 shell 命令注入、PHP 代码执行、模板注入等目录枚举 (key: dirscan)
    检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测 (key: path_traversal)
    支持常见平台和编码XML 实体注入检测 (key: xxe)
    支持有回显和反连平台检测POC 管理 (key: phantasm)
    默认内置部分常用的 POC,用户可以根据需要自行构建 POC 并运行。可参考:POC 编写文档文件上传检测 (key: upload)
    支持检测常见的后端服务器语言的上传漏洞弱口令检测 (key: brute_force)
    支持检测 HTTP 基础认证和简易表单弱口令,内置常见用户名和密码字典JSONP 检测 (key: jsonp)
    检测包含敏感信息可以被跨域读取的 jsonp 接口SSRF 检测 (key: ssrf)
    ssrf 检测模块,支持常见的绕过技术和反连平台检测基线检查 (key: baseline)
    检测低 SSL 版本、缺失的或错误添加的 http 头等任意跳转检测 (key: redirect)
    支持 HTML meta 跳转、30x 跳转等CRLF 注入 (key: crlf_injection)
    检测 HTTP 头注入,支持 query、body 等位置的参数…

漏扫工具xray是一款专业的Web应用漏洞扫描器,可以帮助开发人员和安全研究人员识别并修补Web应用程序中的漏洞。下面是关于xray如何下载的相关信息。 首先,你可以通过访问xray官方网站来下载xray漏扫工具。在官网的下载页面上,你可以找到最新版本的xray漏扫工具。选择适合你操作系统的版本,比如Windows、Linux或者MacOS,并点击下载按钮。 另外,xray也提供了一个开源社区版本,可以在GitHub上找到。你可以在GitHub的xray项目页面上找到源代码和发布的版本。如果你是一个开发人员或安全研究人员,你可以从这里下载源代码,并根据自己的需求进行自定义编译和安装。 无论你选择哪种方式进行下载,记得要确保从正规渠道下载,避免下载到捆绑有恶意软件的假冒版本。 下载完成后,你可以按照官方提供的安装指南进行安装和配置。通常,你需要解压下载的文件,并按照文档中的说明进行配置和设置。确保你已经按照要求安装了必要的依赖项和运行环境。 完成安装和配置后,你就可以使用xray来进行漏洞扫描了。通过命令行或图形界面工具,你可以输入目标URL或IP,并选择扫描策略和漏洞类型。然后,xray将自动进行漏洞扫描,并生成扫描报告,指出潜在的漏洞和脆弱点。 总之,xray是一款功能强大的漏洞扫描工具,通过正规渠道下载并按照官方指南进行安装和配置,你就可以充分利用它来提高Web应用程序的安全性。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值