優秀工具 | Xray:一款功能強大的Web安全評估工具

  • 2019 年 10 月 6 日
  • 筆記

前言

近幾日,上線了一款功能強大的Web安全評估工具 – Xray,據說很多小夥伴都拿它挖到了漏洞,這幾天我也試試了,確實不錯,至於漏洞嘛,也是掃到了幾個。還在繼續深入研究,這次分享僅針對這款工具吧,也剛剛上手沒有什麼太大的心得,如果日後有了,再做分享。

文末有我從頭至尾下載並測試我自己網址的短視頻。

夥伴們別忘了猛轉加再看哦。

直奔主題

Github項地址:https://github.com/chaitin/xray  官方主頁:https://chaitin.github.io/xray/#/

?快速使用

在使用之前,請務必閱讀並同意 

https://github.com/chaitin/xray/blob/master/LICENSE.md

文件中的條款,否則請勿安裝使用本工具。

1、使用基礎爬蟲爬取並對爬蟲爬取的鏈接進行漏洞掃描

xray webscan --basic-crawler http://example.com --html-output vuln.html

2、使用 HTTP 代理進行被動掃描

xray webscan --listen 127.0.0.1:7777 --html-output proxy.html

設置瀏覽器 http 代理為http://127.0.0.1:7777,就可以自動分析代理流量並掃描。

如需掃描 https 流量,請閱讀下方文檔 抓取https流量 部分

3、只掃描單個 url,不使用爬蟲

xray webscan --url http://example.com/?a=b --html-output single-url.html

4、手動指定本次運行的插件

默認情況下,將會啟用所有內置插件,可以使用下列命令指定本次掃描啟用的插件。

xray webscan --plugins cmd_injection,sqldet --url http://example.com  xray webscan --plugins cmd_injection,sqldet --listen 127.0.0.1:7777

5、指定插件輸出

可以指定將本次掃描的漏洞信息輸出到某個文件中:

xray webscan --url http://example.com/?a=b   --text-output result.txt --json-output result.json --html-output report.html

報告樣例

https://chaitin.github.io/xray/assets/report_example.html

6、只運行單個內置 POC

在 xray 中,所有的 poc 隸屬於插件phantasm, 所以使用 poc 時需要開啟phantasm插件才可生效。--poc參數指定本次運行的 poc,如不指定,將運行所有的內置 poc。

xray webscan --plugins phantasm --poc poc-yaml-thinkphp5-controller-rce --url http://example.com/

只運行單個 POC只運行單個 POC只運行單個 POC只運行單個 POC 7、運行用戶自定義 POC

用戶可以按需書寫自己的 YAML 格式的 POC, 並通過指定 --poc 參數運行,比如運行在/home/test/1.yaml 處的 POC。

xray webscan --plugins phantasm --poc /home/test/1.yaml --url http://example.com/

--poc 參數非常靈活,支持 Glob 匹配,支持從目錄加載,可以從以下幾個例子理解用法:

加載/home/test/pocs/ 所有的 POC:

xray webscan --plugins phantasm --poc "/home/test/pocs/*"

自定義 POC 請查看文檔。

8、轉發漏洞信息到數據庫、郵件、IM 通知等

用戶可以使用--webhook-output將漏洞信息進行轉發,後端需要返回 status 200 才認為發送成功,否則將打印錯誤日誌。

xray webscan --url http://example.com/ --webhook-output http://host:port/path

?檢測模塊

新的檢測模塊將不斷添加

  • XSS漏洞檢測 (key: xss) 利用語義分析的方式檢測XSS漏洞
  • SQL 注入檢測 (key: sqldet) 支持報錯注入、布爾注入和時間盲注等
  • 命令/代碼注入檢測 (key: cmd_injection) 支持 shell 命令注入、PHP 代碼執行、模板注入等
  • 目錄枚舉 (key: dirscan) 檢測備份文件、臨時文件、debug 頁面、配置文件等10餘類敏感路徑和文件
  • 路徑穿越檢測 (key: path_traversal) 支持常見平台和編碼
  • XML 實體注入檢測 (key: xxe) 支持有回顯和反連平台檢測
  • poc 管理 (key: phantasm) 默認內置部分常用的 poc,用戶可以根據需要自行構建 poc 並運行。文檔:https://chaitin.github.io/xray/#/guide/poc
  • 文件上傳檢測 (key: upload) 支持常見的後端語言
  • 弱口令檢測 (key: brute_force) 社區版支持檢測 HTTP 基礎認證和簡易表單弱口令,內置常見用戶名和密碼字典
  • jsonp 檢測 (key: jsonp) 檢測包含敏感信息可以被跨域讀取的 jsonp 接口
  • ssrf 檢測 (key: ssrf) ssrf 檢測模塊,支持常見的繞過技術和反連平台檢測
  • 基線檢查 (key: baseline) 檢測低 SSL 版本、缺失的或錯誤添加的 http 頭等
  • 任意跳轉檢測 (key: redirect) 支持 HTML meta 跳轉、30x 跳轉等
  • CRLF 注入 (key: crlf_injection) 檢測 HTTP 頭注入,支持 query、body 等位置的參數
  • ..

⚡️進階使用

下列高級用法請查看 http://chaitin.github.io/xray/ 使用。

  • 修改配置文件
  • 生成證書
  • 抓取 https 流量
  • 修改 https 發包配置
  • 反連平台的使用

?討論區

提交誤報漏報需求等等請務必先閱讀 

https://chaitin.github.io/xray/#/guide/feedback

如有問題可以在 GitHub 提 issue, 也可在下方的討論組裡

1、GitHub issue: 

https://github.com/chaitin/xray/issues

2、QQ 群: 717365081

3、微信群: 添加好友chanyo1016,拉你進Xray官方微信群

VirMach 便宜 VPS

QNews

QNews