渗透测试工具介绍和简单使用(二)

最新推荐文章于 2025-04-27 22:23:43 发布
最新推荐文章于 2025-04-27 22:23:43 发布
阅读量1.2k 收藏 32
点赞数 27
分类专栏: 渗透测试 安全 文章标签: 安全 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_58666006/article/details/141680253
版权

上一篇文章链接

一、Xray

        1、介绍

                长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。

                打开xRay,查看其较为常用的功能的命令:

        介绍一下最常用的功能就是ws(webscan),输入xray.exe ws -h查看具体情况,如下图:

2、使用实例

        目标网址:VAuditDemo        如下图:

扫描单个路径

命令:

xray webscan --url http://192.xxx.xxx.xxx:81/messageDetail.php?id=7 --html-output Sun_happy01.html 

步骤:

第一步:

第二步:

第三步:

第四步:执行命令

命令分析:

生成结果在程序所在的目录:

 成果展示,如下图:

 测试结果二:

 对目录进行扫描

命令:

xray webscan --basic-crawler http://xxx.xxx.xxx.xxx:81 --html-output Sun_happy02.html

直接输入命令开始生成扫描结果文件,由于是对整个目录进行爬虫式的扫描,所以结果会多点:

结果:

可能能找到源文件:

js文件可能会存在一些信息泄露,但是一般需要配合python脚本进行查找。

值得注意的是,php代码是不可以看到源码的,点击会直接执行该php文件。

利用插件进行扫描

xray webscan --plugins sqldet --url http://xxx.xxx.xxx.xxx:81/messageDetail.php?id=7 --html-output audit-03.html        #扫描Sql注入这里就不再演示了 

配合火狐浏览网址自动生成扫描文件

第一步:利用xray设置监听

        xray.exe webscan --listen 127.0.0.1:8080 --html-output Sun_happy03.html   #监听8080

        

在火狐中设置代理:

二、dirb目录扫描 和 Nikto漏洞扫描工具

        1、介绍

                dirb是基于字典的web目录扫描工具,会用递归的方式来获取更多的目录,类似于御剑。此工具是Kali自带的工具 ,在Kali中直接使用。

                Nikto是一个开源的WEB扫描评估软件,可以对Web服务器进行多项安全测试,能在230多种服务器上扫描出 2600多种有潜在危险的文件、CGI及其他问题。Nikto可以扫描指定主机的WEB类型、主机名、指定目录、特定CGI漏洞、返回主机允许的 http模式等。

        2、使用实例

(1)dirb

      

(2)Nikto

        

 三、御剑后台扫描工具

        1、介绍

        2、使用实例

 四、AWVS

        1、介绍               

        AWVS工具在网络安全行业中占据着举足轻重的地位,作为一名安全服务工程师,AWVS这款工具在给安全人员做渗透测试工作时带来了巨大的方便,大大的提高了工作效率。

        Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。

        2、使用实例

                第一步:创建目标:

                   第二步:查看扫描结果

 

渗透测试工具xray
weixin_45307895的博客
04-28 3804
Xray 一、Xray 支持多种漏洞检测,主要检测类型如下: XSS漏洞检测 (key: xss) SQL 注入检测 (key: sqldet) 命令/代码注入检测 (key: cmd-injection) 目录枚举 (key: dirscan) 路径穿越检测 (key: path-traversal) XML 实体注入检测 (key: xxe) 文件上传检测 (key: upload) 弱口令检测 (key: brute-force) jsonp 检测 (key: jsonp) ssrf 检测 (key
渗透测试工具介绍简单使用(一)
weixin_58666006的博客
08-29 1033
渗透工具简单使用案例,介绍了如何在kali使用nmapmsf两个工具相互配合,利用漏洞拿下目标主机。
简单渗透工具使用
weixin_30267691的博客
04-26 246
上传木马 windows上一般使用菜刀实现一句话木马的控制,在linux平台下,也存在类似的工具,如weevely 使用weevely 生成木马php后上传后再用其连接 weevely generate test hello.php 生成的文件在/usr/share/weevely/hello.phpweevely http://192.168.0.103...
Xray-安全评估工具
最新发布
一位专注网络安全以及渗透的资深工程师
04-27 285
Xray 是一款功能强大的安全评估工具,支持多种漏洞扫描代理功能。
渗透测试-常用的工具使用
m0_49936858的博客
08-22 593
Metasploit、Nmap、Nessus、SQL Map、W3af
【每天学会一个渗透测试工具Xray安装及使用指南
菜鸟小羊的博客
06-18 3551
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于代理模式进行的扫描,扫描器作为中间人,原样转发流量并返回响应给客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。基于爬虫模式进行的扫描,模拟人工去点击网页链接,快速爬取网站目录,看有哪些目录对互联网开放,再用漏洞扫描看看是否有漏洞。设置——>隐私与安全——>证书——>查看证书。
安全测试 简单渗透测试工具箱 可用于简单安全测试学习与练手
08-26
安全测试 简单渗透测试工具箱 可用于简单安全测试学习与练手 安全测试 简单渗透测试工具箱 可用于简单安全测试学习与练手 本文仅作学习参考!!!!不可另作他用或转载!!!!
渗透测试漏洞扫描工具AWVS附安装使用教程
07-12
Acunetix Web Vulnerability Scanner(简称AWVS)是一款知名的Web网络漏洞扫描工具,它通过网络爬虫测试你的网站安全,检测流行安全漏洞。AWVS是渗透测试的常用工具,操作简单
安全测试之简单渗透工具箱的制作
m0_64139836的博客
08-23 2389
项目功能:源代码在文章末尾。简单渗透工具箱:1.1时间查看;1.2 计算机服务查看;1.3通过进程号或进程名结束目标应用;1.4删除日志;1.5查看用户集;1.6 目标文件查找;1.7查看计算机本地安全设置;1.8查看本机IP下的端口情况;
一个简单的集成化渗透测试工具.zip
11-29
一个简单的集成化渗透测试工具太空核心一个简单的集成化渗透测试工具,该工具有助于您更好的完成渗透测试,请不要用于非法用途简单工具,用于学习,渗透大佬轻喷()ノ゙工具使用步骤因工具部分功能使用NMAP,这可能...
【十年网络安全工程师整理】—100渗透测试工具使用方法介绍
热门推荐
请大家直接把问题写在评论区或留言,不要只说一句"你好 或 在吗",我会尽快回复的。
03-27 4万+
100渗透测试工具使用方法介绍
渗透测试工具-御剑(后台扫描工具
02-21
御剑工具汇总(注入连接后端工具) 不放心的话工具可以放到虚拟机里使用,可能会有报毒属正常情况 【渗透测试工具-御剑】主要用来信息收集,目录扫描的一款工具。 御剑后台扫描工具是为众多从事网络工作并担任网络安全管理职位的人制作的一款后台安全扫描工具,它能帮你实时监控后台文件的安全性,防御网站风险,为您网站的正常运作提供最大的保障。t00ls大牛的作品,很强大的字典,便查找用户后台登陆地址,同时也为程序开发人员增加了难度,尽量独特的后台目录结构。 功能介绍: 1.扫描线程自定义:用户可根据自身电脑的配置来设置调节扫描线程 2.集合DIR扫描 ASP ASPX PHP JSP MDB数据库 包含所有网站脚本路径扫描 3.默认探测200 (也就是扫描的网站真实存在的路径文件)
御剑注入工具
01-25
用于查找网站注入点的注入工具!新手必备!也可以用来查找后台!
SQL注入工具-御剑
06-07
SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑SQL注入工具-御剑
渗透测试,后台扫描利器-御剑
08-03
渗透测试,后台扫描利器
御剑 扫后台工具
03-04
收集信息很好用
常用的安全渗透测试工具!(含安装、使用教程)
YJT1002的博客
05-21 1353
在检测过程中,Burp会对基础的请求信息进行修改,即根据漏洞的特征对参数进行修改,模拟人的行为,以达到检测漏洞的目的;可以看到,运行完判断是否存在注入的语句后,“爆出”一大段代码,下面来分析代码反馈给我们的信息。接下来配置环境变量,右击“计算机”,接着单击“属性”→“高级系统设置”→“环境变量”,然后新建系统变量,在弹出框的“变量名”处输入“JAVA_HOME”,在“变量值”处输入JDK的安装路径,如“C:\Program Files(x86)\Java\jdk1.8.0_112”,然后单击“确定”按钮。
Xray联动burp进行渗透测试
weixin_56537388的博客
10-12 417
Xray的被动扫描发送的流量比较小,Xray可以联动burp suite 使用,将burp抓到的包发给Xray,我们只需要配置好代理一直点就行,然后查看渗透测试报告。匹配单一任意字符串,而上游代理的地址则填写 xray 的监听地址。配置浏览器bp代理,确保bp可以抓到浏览器包,这步就不说了。进入 Burp 后,打开。添加上游代理以及作用域,这是Xray的官方文档。匹配多个任意字符串,
渗透测试工具
qq_45233918的博客
07-19 716
渗透测试工具 一、十个渗透工具 nmap sqlmap Burpsuite hydra 中国菜刀 中国蚁剑 御剑 Nessus AWVS Appscan 介绍使用 nmape主要用来 主机发现、 端口扫描、 版本侦测、 操作系统侦测 一些常用的参数 : -A :选项用于使用进攻性方式扫描 -T4: 指定扫描过程使用的时序,总有6个级别(0-5)级别越高,扫描速度越快,但也容易被 防火墙或I...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值