Xray 社区版是长亭科技推出的免费白帽工具,有 xray 漏洞扫描器和 Radium 爬虫工具,是一种功能强大的扫描工具。根据系统选择对应版本,无依赖,无需安装,下载后直接使用。
--plugins指定要运行的插件,用“,”分隔--poc指定要运行的 poc,用 ',' 分隔--listen使用代理资源收集器,值为代理地址,(例如:127.0.0.1:1111)--basic-crawler使用基本爬虫爬取目标并扫描请求--browser-crawler使用浏览器蜘蛛抓取目标并扫描请求--url-file , -uf从本地文件中读取 url 并扫描这些 url,每行一个 url--burp-file从 burpsuite 导出文件中读取请求作为目标--url ,-u扫描 单个 网址--raw-request ,--rr从 FILE 加载 http 原始请求--force-ssl,--fs对原始请求强制使用 SSL/HTTPS--html-output,--ho 文件将 X 射线结果以 HTML 格式输出到 FILE 下载地址开启监听https://github.com/chaitin/xray/releases
需要在命令行中使用,开启xray的web扫描,监听本地的一个端口
流量转发配置BurpSuite上行代理进行流量转发
设置成xray监听的web端口,浏览器使用burp监听的端口
burp抓包后放行后会放到xray流量进行网页爬行漏洞扫描
安装证书还需要使用xray生成一个证书认证导入浏览器解决不能抓取https协议得问题
./xray genca
直接双击文件夹中生成的ca.crt证书
安装证书
本地用户当前用户都行
安装在受信任的根证书机构
点击是即可安装成功。
结语
已无暇顾及过去,要向前走。