xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
- 检测速度快。发包速度快; 漏洞检测算法高效。
- 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
- 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
- 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
- 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
安装
根据你的系统选择适合你的版本。
与burpsuite联动
xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html
如上图所示就表示你成功了,接下来配置burpsuite。
进入 Burp 后,打开 User options 标签页,然后找到 Upstream Proxy Servers 设置。
点击 Add 添加上游代理以及作用域,Destination host处可以使用*匹配多个任意字符串,?匹配单一任意字符串,而上游代理的地址则填写xray的监听地址。
测试一下联动是否正常
与awvs联动
xray.exe webscan --listen 127.0.0.1:7777 --html-output 0day.html运行xray,在awvs里添加目标
如果xray有类似下图所示,就表示成功了
最后会将结果保存到html中,虽然漏洞数量不如专业漏扫awvs,但的确方便好使😀
xray的确方便了很多渗透测试流程,也是一款良心工具。
更多详情,关注官方文档 https://docs.xray.cool/#/
文章目录