漏洞掃描工具BurpSuite和Xray的使用
阿新 • • 發佈:2022-04-02
一、Xray的安裝和使用
下載安裝地址:https://github.com/chaitin/xray/releases 注:關於M1下載第3個。
第一步要先生成證書,然後倒入計算機即可。 ./xray genca
第二步執行 ./xray 生成一個配置檔案。 在配置檔案當中可以對xray的掃描進行設定。
實戰1:使用xray的主動掃描DVWA靶場。
注意,我們在掃描需要登入的網站的時候需要在xray裡面設定cookie,所以我們的第一步就是在網站當中把cookie取出來然後放到xray的配置檔案當中。
執行命令:
./xray webscan --basic-crawler http://49.232.106.183/dvwa-labs/ --html-output DVWA.html
然後去DVWA.html去檢視掃描結果。
實戰2:使用xray的被動掃描
./xrat webscan --listen 127.0.0.1:7777 --html-output dvwa.html
然後通過瀏覽器外掛將代理指向xray監聽的地址埠即可。這時候在目標網站進行手動探測(被動掃描),而不是整個網頁都掃一遍。
三、Xray和BurpSuite聯動使用
我們在BurpSuite的設定裡面將流量轉發給我們的xray即可然後選擇效用。