- 1解决主机有网络但虚拟机没网络连接问题----记录
- 2Linux安装hadoop
- 3Python中selenium库的用法详解_python selenium
- 4Git 打patch (打补丁)的使用_git patch怎么用
- 5android基础知识12:android自动化测试03—基于junit的android测试框架02
- 6Matlab生成随机数的一些命令_matlab随机生成数 并输出
- 7《Python自然语言处理》第二章 习题解答 练习6
- 8借助PLC-Recorder,西门子PLC S7-200SMART实现2ms周期采集的方法(带时间戳采集)_200smart时间超过一天怎么比较
- 9无人机在水利行业的应用
- 10VRay Next (4.0) for SketchUp之AO通道的设置与输出_su渲染ao图参数设置
【渗透工具】xray的安装与使用教程_xray使用教程
赞
踩
目录
简介
xray 是一款功能强大的安全评估工具,主要用于web安全扫描器。
官方文档:快速开始 - xray Documentation
提示:未授权的站点不要随意去扫,避免影响公司业务
下载
下载安装地址:xray community
我是Windows系统,所以选择xray_windows_amd64.exe.zip
安装证书
下载好后双击解压安装包
打开终端,cd到xray目录下,运行下面这个命令生成证书:
.\xray_windows_amd64.exe genca
打开浏览器(我用的火狐浏览器),找到设置里面的隐私与安全->查看证书
导入刚刚生成的证书
两种使用模式
(1)代理模式
在扩展里添加下面这个代理插件
添加一个xray的情景模式,设置代理服务器和端口,然后点击左下角应用选项
浏览器右上角,选中xray即可开启代理
扫描一个指定的站点,这里使用的是一个测试专门网站:Home of Acunetix Art
执行这条命令进行扫描:
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output 3.html
webscan:web页面的漏洞检测
--listen:监听
--html-output:输出html格式
测试结果会输出到上述的3.html文件中
(2)爬虫模式
借助爬虫进行漏洞检查
xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ --html-output 1.html
webscan:web页面扫描
--basic-crawler:基础爬虫
测试结果会输出到上述的1.html文件中
打开html文件即可查看漏洞报告
可以验证一下上面这个xss漏洞
联动burpsuite
在burpsuite中设置二级代理
设置好的效果如图,不使用的时候取消勾选即可
浏览器设置burp代理
使用burp抓包
xray开启监听:xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output 6.html
burp放包
xray便从监听状态变为测试状态
