Xray挂机刷漏洞

最新推荐文章于 2024-09-26 07:48:25 发布
原创 最新推荐文章于 2024-09-26 07:48:25 发布 · 2.3k 阅读 · 28 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。

本文介绍了如何使用Xray进行批量漏洞扫描,包括Xray的基本使用、批量扫描的设置以及如何通过pppXray工具实现自动化。作者分享了初始化Xray、修改配置以扫描edu.cn域名、安装与运行pppXray的步骤,并展示了扫描结束后生成的漏洞报告。此外,还提到对pppXray进行的小改造,增加扫描完成后的系统提示音功能。 
更多黑客技能 公众号:白帽子左一

作者:掌控安全-happy0717

xray是北京长亭科技其下的一款漏洞扫描工具,工具很好用只是没有批量扫描的功能,今天就带大家一起批量扫描。

官方网站:https://xray.cool/

直接下载就好

xray使用:

cd E:\渗透工具\xray_windows_amd64.exe

基本爬虫扫描

./xray_windows_amd64.exe webscan —basic-crawler url —html-output 1.html

代理模式与浏览器联动

.\xray_windows_amd64.exe webscan —listen 127.0.0.1:8080 —html-output 123.html

批量检查的 1.file 中的目标, 一行一个目标,带端口 没有基本爬虫功能!!!

./xray_windows_amd64.exe webscan —url-file 60.txt —html-output 1.html

python pppXray.py -r target.txt

有这些就够用了

我习惯使用powershell运行xray,因为powershell颜色分明更好看一些。

第一次使用的时候要初始化一下。

cd 到xray的目录

比如:cd E:\渗透工具\xray_windows_amd64.exe

之后./xray_windows_amd64.exe webscan —basic-crawler {要扫描的url} —html-output 1.html

初始化完会出现config.yaml的配置文件

xray默认是不扫描edu.cn的,想挖教育src的需要手动更改

图片

要更改的地方长这样,在config.yaml里,把edu.cn删掉就好了,应该一共有两处。

当然以上都不是重点

重点:github上有这样一款工具可以让xray批量进行扫描

下载链接:

https://github.com/Cl0udG0d/pppXray

运行需要python3的环境

pppXray和xray要放在相同的文件夹下

首先要pip安装click

cmd运行:pip install click

图片

图片

图片

还有几个位置是需要手动更改的,在pppXray.py中

最低0.47元/天 解锁文章
漏洞扫描工具Xray
C-HOWE的博客
01-03 1376
Xray是一款功能强大的漏洞扫描工具,支持主动和被动扫描方式,能够自动化检测Web应用程序中的各种漏洞,如SQL注入、XSS、命令注入等。它采用Go语言编写,跨平台支持Windows、macOS和Linux,具备快速、高效、可定制的特点,适用于安全测试和评估。
Xray漏洞扫描工具全面指南:从入门到实战应用
最新发布
安全渗透Hacker的博客
09-12 1485
Xray是一款由长亭科技开发的国产高性能Web漏洞扫描工具,其社区版提供了强大的被动扫描能力,成为安全测试人员和开发者的必备神器。本文将全面介绍Xray的功能特性、安装方法、使用技巧和实战应用。Xray作为国产漏洞扫描工具的佼佼者,以其强大的检测能力和灵活的使用方式赢得了安全社区的广泛认可。通过掌握本文介绍的各种扫描模式和高阶技巧,您可以将Xray有效地集成到安全测试流程中,大幅提升Web应用安全性检测效率。
pppXray:Xray批量化自动扫描
05-12
pppXray 作用: Xray批量化自动扫描 使用方法: 一,在target.txt里按行放置待扫描URL,如图: 二,将Xray所在文件夹配置到电脑环境变量里 三,然后运行pppXray.py即可 运行截图: 关于 2021/2/20更新 添加命令行参数与自定义xray插件用法,可通过 --help查看 -r,--readfile参数指定批量读取文件名,默认文件名为target.txt --plugins参数指定xray插件 如图: 输入 python3 pppXray.py --plugins cmd_injection -r target.txt,使用注入插件进行检测 2021/5/5更新 看到了黑白某道的公众号文章,这么菜的脚本也能水文章了,xs 但为了方便初学安全的小伙伴更方便使用xray,参考之前的经验,在脚本中兼容专业版和社区版,以及添加分类的功能,大伙儿就不用点开每个漏洞
xray漏洞扫描利器
zkaqlaoniao的博客
11-07 8453
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了与burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
pppXray 项目使用教程
gitblog_01149的博客
09-26 587
pppXray 项目使用教程 1. 项目介绍 pppXray 是一个基于 Xray 的批量化自动扫描工具,旨在帮助安全从业者快速、高效地进行大规模目标站点的漏洞扫描Xray 是一款由长亭科技开发的漏洞扫描工具,支持主动和被动扫描方式,功能丰富且易于调用。pppXray 通过批量处理目标 URL,自动化执行 Xray 扫描,极大地提高了漏洞扫描的效率。 2. 项目快速启动 2.1 环境准备 确保...
【漏扫工具xray】简介、下载、使用步骤、命令指南、导入安全证书
05-15 7622
【漏扫工具XRAY使用
白帽子挖洞第II篇作业--xray+fofa主动扫描
qq_29437513的博客
11-10 1995
在去年到今年期间,出现了fofa2xray这样通过调用fofa的api,配合xray的被动扫描,实现挖洞。 本人有幸花了点时间搭好环境,但在确定api已经调用成功后,发现无法返还数据,如图 得出的结果:也许只有开发者的脚本只有开发者才能调用。 看了fofa2xray的config源码后产生构想 简陋的源码,能不能自己通过fofa-gui导出结果然后xray扫描呢? 网上找了一下,发现真的有大佬想到一块了, https://cloud.tencent.com/developer/article/1759
网页漏洞扫描---长亭科技*云图极速版
Dino Li的博客
12-18 515
漏洞扫描长亭科技, SaaS 产品
常用的被动扫描工具Xray
mashiro_hibiki的博客
03-07 2420
长亭科技所开发的漏洞检测工具,所支持检测的漏洞类型有:XSS漏洞检测、SQL 注入检测、命令/代码注入检测支持 shell 命令注入、PHP 代码执行、模板注入等、目录枚举dirscan检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测、外部实体注入检测xxe、支持有回显和反连平台检测poc等
【干货分享】漏扫工具整合使用教程!!!
logic1001的博客
02-02 2160
xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者的自动化 Web 漏洞探测需求。
绿盟又行了,漏管市场占有率第一
liguangyao213的博客
06-28 1404
吉祥学安全除了包含技术干货:Java代码审计、web安全、应急响应等,还包含了安全中常见的售前护网案例、售前方案、ppt等,同时也有面向学生的网络安全面试、护网面试等。
pppXray-main.zip
05-28
能与xray联动,批量扫描的软件,运行后睡一觉就可以收获了
Python对接 xray 和微信实现自动告警
09-18
xray 是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,这篇文章主要介绍了对接 xray 和微信实现自动告警,需要的朋友可以参考下
Xray的安装与使用
qq_46055185的博客
07-24 9500
Xray的安装与使用Xray的安装下载安装配置ca证书 Xray的安装 下载 Xray 为单文件二进制文件,无依赖,也无需安装,下载后可直接使用。 链接: 网盘链接. 安装 将文件直接保存到本地地址.(我这里保存到了桌面) 在windows搜索框中搜索:powershell,管理员运行 cd到下载目录运行 .\xray_windows_amd64.exe version(我的下载目录为桌面) 如果想要运行还有为xray配置ca证书完成代理。 配置ca证书 运行.\xray_win
Xray使用的经验分享(xray+burp的使用[套娃测试])
AerYinan的博客
12-23 1万+
xray是一种功能强大的扫描工具xray 社区版是长亭科技推出的免费白帽子工具平台,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。有趣的功能自己的安全评估工具,,支持常见的web安全问题扫描和自定义po
xray自动化扫描工具批量化扫描
violated的博客
05-25 1393
XRay 的定位是一款安全辅助评估工具,而不是攻击工具,其内置的所有 payload 和 poc 均为无害化检查。毫不犹豫的说,XRay属于渗透测试人员安全渗透的一大神兵利器!XRay长亭科技洞鉴核心引擎中提取出的社区版漏洞扫描神器,属于一款功能十分强大的国产被动扫描工具,其应用范围涵括,Web通用漏洞扫描、被动代理扫描、社区POC集成……以上是xray工具批量扫描,先将需要扫描的域名放在xray目录下面,命名为ips.txt,扫描完成后并将扫描后的结果保存在output下面。
Xray捡洞中的高频漏洞
热门推荐
m0_49936858的博客
08-12 1万+
用 X-Ray 洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危。
Xray+Rad+FOFA
LiBai'S BLOG
12-13 4842
被动代理+深度扫描~
fofa联动xray漏洞
09-01
Fofa和Xray都是用于漏洞扫描和安全评估的工具,它们可以通过联动来提高漏洞发现和利用的效率。 Fofa是一个针对互联网资产进行搜索和识别的工具,可以识别并收集到大量的网络资产信息,包括域名、IP地址、端口、协议等等。Fofa通过简单的语法搜索和筛选,可以找到满足我们需求的特定目标资产。例如,我们可以使用Fofa搜索所有运行特定版本的Web服务器的IP地址,然后再使用Xray对这些目标进行漏洞扫描。 而Xray是一款功能强大的漏洞扫描工具,它能够自动化检测和验证各种网络应用的安全风险。Xray具备自动化漏洞发现、漏洞验证、漏洞利用等功能,可以帮助我们快速定位和利用目标系统的漏洞。通过联动Fofa和Xray,我们可以使用Fofa搜索到的目标资产作为Xray扫描目标,进一步提高漏洞扫描的效率和准确性。 具体操作上,我们可以先使用Fofa搜索并收集到需要扫描的目标资产,然后将这些资产列表导入Xray进行漏洞扫描。这样做可以避免重复扫描和减少扫描盲区,提高我们对资产的全面安全评估能力。另外,Fofa和Xray联动还可以帮助我们实现漏洞的自动化验证和关联,提升我们对漏洞的理解和评估。 总的来说,Fofa和Xray的联动可以有效地提高漏洞扫描的效率和准确性,帮助我们更好地发现和解决安全风险,保障网络资产的安全。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值