xray與burp聯動被動掃瞄

2022-06-19 09:54:12 字數 1020 閱讀 5734

最近也是剛實習了幾天,看見帶我的那位老哥在用xray,而且賊溜,所以我想寫幾篇關於xray的使用的文章

在實際測試過程中,除了被動掃瞄,也時常需要手工測試。這裡使用 burp 的原生功能與 xray 建立起乙個多層**,讓流量從 burp **到 xray 中。

首先 xray 建立起 webscan 的監聽

xray_windows_386.exe webscan --listen 127.0.0.1:7001 --html-output c.html
使用該命令建立起監聽

進入 burp 後,開啟 user options 標籤頁,然後找到 upstream proxy servers 設定。

點選 add 新增上游**以及作用域,destination host處可以使用*匹配多個任意字串,?匹配單一任意字串,而上游**的位址則填寫 xray 的監聽位址。

接下來,在瀏覽器端使用 burp 的**位址

此時網頁流量便通過了brup**到了xray

xray開始接收到流量開始漏洞掃瞄

如果需要抓取https流量則需要brup以及xray都安裝https證書。

brup安裝證書抓取https

xray安裝證書進行http以及https掃瞄

參考:

Xray安裝與使用

xray是從長亭洞鑑核心引擎中提取出的社群版漏洞掃瞄神器,支援主動 被動多種掃瞄方式,自備盲打平台 可以靈活定義 poc,功能豐富,呼叫簡單,支援 windows macos linux 多種作業系統,可以滿足廣大安全從業者的自動化 web 漏洞探測需求。解壓完成之後 然後開啟powershell ...

滲透測試 利用Burp爆破使用者名稱與密碼

burp 全稱 burp suite,是用於攻擊web 應用程式的整合平台。它包含了許多任務具,可以抓包可以爆破也可以掃瞄漏洞。主要元件如下 proxy 是乙個攔截http s的 伺服器,作為乙個在瀏覽器和目標應用程式之間的中間人,允許你攔截,檢視,修改在兩個方向上的原始資料流。spider 是乙個...

BFD與OSPF聯動 Huawei裝置

二 實驗分析 本篇blog承接這篇,重點對bfd的配置基於實驗進行詳解 bfd技術與靜態路由聯動 huawei裝置 實驗拓撲如下 問題 r1 r2間執行ospf協議,宣告直連網段與自己的環迴 由於中間的連線時ma網路,即當r2的直連線口down掉後,r1並不能直接感受到,需要等待4倍的hello時間...