xray 是一款功能強大的安全評估工具,由多名經驗豐富的一線安全從業者嘔心打造而成,主要特性有:
- 檢測速度快。發包速度快; 漏洞檢測算法高效。
- 支援範圍廣。大至 OWASP Top 10 通用漏洞檢測,小至各種 CMS 架構 POC,均可以支援。
- 代碼品質高。編寫代碼的人員素質高, 通過 Code Review、單元測試、內建測試等多層驗證來提高代碼可靠性。
- 進階可定制。通過配置檔案暴露了引擎的各種參數,通過修改配置檔案可以極大的客制化功能。
- 安全無威脅。xray 定位為一款安全輔助評估工具,而不是攻擊工具,内置的所有 payload 和 poc 均為無害化檢查。
xray這個工具還可以通過走代理的方式來配合其他工具來對網站進行掃描
例如burpsuite和awvs這兩款,這裡示範一下如何配合awvs
awvs
Awvs也是知名的web漏洞掃描工具,通過網絡爬蟲來測試網站安全,但是相比于xray這些工具,awvs這類大型掃描器很容易給察覺,但還是可以利用其爬蟲的功能配合xray這類工具
這裡示範的是Linux中安裝awvs12web版,Windows就不看了
系統版本:
Ubuntu18.04.2
安裝軟體依賴
apt-get install libxdamage1 libgtk-3-0 libasound2 libnss3 libxss1 libx11-xcb-dev 複制
下載下傳awvs linux版本
下載下傳位址:https://www.acunetix.com/web-vulnerability-scanner/demo/
填寫好資訊後,送出就可以直接跳轉了,如果不想跳轉的話背景留言awvs就好了
安裝awvs
chmod u+x acunetix_trial.sh
./acunetix_trial.sh
運作後會需要你閱讀使用協定,切記不要用回車翻頁,因為下面有個選項需要你yes,而回車預設為no 複制
破解awvs
可以外部解壓進去,也可以裡面解壓複制進去
apt-get install unzip
unzip patch_awvs.zip
cp patch_awvs /home/acunetix/.acunetix_trial/v_190515149/scanner/
cd /home/acunetix/.acunetix_trial/v_190515149/
./patch_awvs 複制
破解成功後顯示
< xs3c.co >
------------
\ ,__,
\ (oo)____
(__) )\
||--|| *
Crack by bigchan.Tested on v_190325161.
Usage: Copy me to the scanner folder and run as root.
Check environment.
Generating license.
Patch executable.
Jobs done, there you go. 複制
執行完後確定license不會被修改,加個權限
chattr +i /home/acunetix/.acunetix_trial/data/license/license_info.json 複制
這時,浏覽器通路你主機名+端口13443(預設)就可以通路了
Xray安裝
請下載下傳的時候選擇最新的版本下載下傳。
- Github: https://github.com/chaitin/xray/releases (國外速度快)
- 網盤: https://yunpan.360.cn/surl_y3Gu6cugi8u (國内速度快)
直接下載下傳解壓後就可以使用了
Xray配合awvs
在awvs中先建立一個目标,示範就用線上靶場http://testphp.vulnweb.com/
點選
Addtarget
,然後在http設定代理,更改完成後點選save,然後點save旁邊的scan(先不要建立掃描,xray還沒開)
這時候,去ubuntu上,開啟xray,他會在指定端口監聽流量,然後加載各種poc,接着把結果輸出到
awvs.html
中
./xray webscan --listen 0.0.0.0:1111 --html-output awvs.html 複制
做完這一步後,傳回awvs,選擇僅掃描模式
點選create scan建立掃描,這時xray就開始漏洞掃描了
等掃描結束後,打開awvs.html看結果就好了
參考連結:
> https://xray.cool/xray/#/scenario/awvs