xray联动burpsuite和awvs

分享 395 字 大概 1 分钟 1,184 次
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
  • 检测速度快。发包速度快; 漏洞检测算法高效。
  • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
  • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
  • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
  • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

安装

根据你的系统选择适合你的版本。
2020-07-27T07:25:09.png
2020-07-27T07:24:50.png

与burpsuite联动

xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html

2020-07-27T07:29:59.png
如上图所示就表示你成功了,接下来配置burpsuite。

进入 Burp 后,打开 User options 标签页,然后找到 Upstream Proxy Servers 设置。

点击 Add 添加上游代理以及作用域,Destination host处可以使用*匹配多个任意字符串,?匹配单一任意字符串,而上游代理的地址则填写xray的监听地址。

2020-07-27T07:37:23.png

测试一下联动是否正常

2020-07-27T07:42:39.png

与awvs联动

xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html

运行xray,在awvs里添加目标
2020-07-27T07:58:32.png
如果xray有类似下图所示,就表示成功了
2020-07-27T08:00:31.png
最后会将结果保存到html中,虽然漏洞数量不如专业漏扫awvs,但的确方便好使😀

2020-07-27T08:03:06.png

xray的确方便了很多渗透测试流程,也是一款良心工具。

更多详情,关注官方文档 https://docs.xray.cool/#/

文章目录
END

本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

发表感想