简介
Xray 社区版是长亭科技推出的免费白帽工具,有 xray 漏洞扫描器和 Radium 爬虫工具,是一种功能强大的扫描工具。根据系统选择对应版本,无依赖,无需安装,下载后直接使用。
| --plugins | 指定要运行的插件,用“,”分隔 |
| --poc | 指定要运行的 poc,用 ',' 分隔 |
| --listen | 使用代理资源收集器,值为代理地址,(例如:127.0.0.1:1111) |
| --basic-crawler | 使用基本爬虫爬取目标并扫描请求 |
| --browser-crawler | 使用浏览器蜘蛛抓取目标并扫描请求 |
| --url-file , -uf | 从本地文件中读取 url 并扫描这些 url,每行一个 url |
| --burp-file | 从 burpsuite 导出文件中读取请求作为目标 |
| --url ,-u | 扫描 单个 网址 |
| --raw-request ,--rr | 从 FILE 加载 http 原始请求 |
| --force-ssl,--fs | 对原始请求强制使用 SSL/HTTPS |
| --html-output,--ho 文件 | 将 X 射线结果以 HTML 格式输出到 FILE |
下载地址
开启监听
需要在命令行中使用,开启xray的web扫描,监听本地的一个端口
流量转发
配置BurpSuite上行代理进行流量转发
设置成xray监听的web端口,浏览器使用burp监听的端口
burp抓包后放行后会放到xray流量进行网页爬行漏洞扫描
安装证书
还需要使用xray生成一个证书认证导入浏览器解决不能抓取https协议得问题
./xray genca
直接双击文件夹中生成的ca.crt证书
安装证书
本地用户当前用户都行
安装在受信任的根证书机构
点击是即可安装成功。
结语
已无暇顾及过去,要向前走。