设为首页收藏本站
开启辅助访问

Xray常用使用命令

 您所在的位置:网站首页 xray批量扫描 Xray常用使用命令

Xray常用使用命令

2023-09-10 01:21| 来源: 网络整理| 查看: 265

一个专门的测试网站,我们就用它来测试今天的xray 一、爬虫模式

http://testphp.vulnweb.com/

扫描一个网站 xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ 其中一个漏洞

payload是给query的cat使用的 query就是问号后面部分 paramkey的值就是cat

在这里插入图片描述

然后访问这个目标网址并xss攻击

在这里插入图片描述 在这里插入图片描述

当然还有很多其他漏洞,这里就给大家看下,不做练习了

在这里插入图片描述

二、代理模式

在这里插入图片描述 在这里插入图片描述 生成证书,这个证书有点类似于burpsuite的那个证书,用户解决不能抓取https协议的。所以这里我才差不多。 执行命令

xray_windows_amd64.exe genca

在这里插入图片描述 2个证书生成成功! 在这里插入图片描述 然后我们回到安装xray的根目录,发现2个证书已经生成完毕,那么现在就来安装证书。 在这里插入图片描述

安装ca证书

双击运行ca.crt 在这里插入图片描述

在这里插入图片描述 在这里插入图片描述 在这里插入图片描述

在这里插入图片描述 在这里插入图片描述

在这里插入图片描述 在这里插入图片描述

启动xray代理

参数--listen ip:端口 参数-- html-output xx.html 开始监听,然后输入你要监听的网址就行了

xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output qidao.html

在这里插入图片描述

浏览器开启代理

在这里插入图片描述 然后就可以访问什么,xray就可以去测试什么漏洞了

在这里插入图片描述

三、联动

在这里插入图片描述 在这里插入图片描述 打开这个配置文件。 在这里插入图片描述

在这里插入图片描述 *号表示可以扫描所有。 允许: includes: 排除:excludes: 在这里插入图片描述

如果把*号换成指定的网址,那么就只有访问指定的网址,xray才会检测。方法见步骤二。 为代理添加认证

设置了后,重新打开就行。 在这里插入图片描述

插件设置

enabled:ture全部开启

在这里插入图片描述

启用特定的插件。

在这里插入图片描述

每秒最大请求数

在这里插入图片描述

配置代理

在这里插入图片描述

xray与burp联动

在这里插入图片描述

在这里插入图片描述

另一种方式,可以让我们用burp选择性的给xray扫描。

在这里插入图片描述 在这里插入图片描述

还有一个自定义POC,有空再更新。


【本文地址】


今日新闻

推荐新闻

CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3