xray 簡介

xray 是一款功能強(qiáng)大的安全評估工具，由多名經(jīng)驗(yàn)豐富的一線安全從業(yè)者嘔心打造而成，主要特性有:

• 檢測速度快。發(fā)包速度快; 漏洞檢測算法效率高。
• 支持范圍廣。大至 OWASP Top 10 通用漏洞檢測，小至各種 CMS 框架 POC，均可以支持。
• 代碼質(zhì)量高。編寫代碼的人員素質(zhì)高, 通過 Code Review、單元測試、集成測試等多層驗(yàn)證來提高代碼可靠性。
• 高級可定制。通過配置文件暴露了引擎的各種參數(shù)，通過修改配置文件可以客制化功能。
• 安全無威脅。xray 定位為一款安全輔助評估工具，而不是攻擊工具，內(nèi)置的所有 payload 和 poc 均為無害化檢查。

目前支持的漏洞檢測類型包括:

• XSS漏洞檢測 (key: xss)
• SQL 注入檢測 (key: sqldet)
• 命令/代碼注入檢測 (key: cmd-injection)
• 目錄枚舉 (key: dirscan)
• 路徑穿越檢測 (key: path-traversal)
• XML 實(shí)體注入檢測 (key: xxe)
• 文件上傳檢測 (key: upload)
• 弱口令檢測 (key: brute-force)
• jsonp 檢測 (key: jsonp)
• ssrf 檢測 (key: ssrf)
• 基線檢查 (key: baseline)
• 任意跳轉(zhuǎn)檢測 (key: redirect)
• CRLF 注入 (key: crlf-injection)
• Struts2 系列漏洞檢測 (高級版，key: struts)
• Thinkphp系列漏洞檢測 (高級版，key: thinkphp)
• XStream 系列漏洞檢測 (key: xstream)
• POC 框架 (key: phantasm)

其中 POC 框架默認(rèn)內(nèi)置 Github 上貢獻(xiàn)的 poc，用戶也可以根據(jù)需要自行構(gòu)建 poc 并運(yùn)行。

XRAY安裝

• Github: https://github.com/chaitin/xray/releases （國外速度快）
• CT stack: https://stack.chaitin.com/tool/detail?id=1 （國內(nèi)速度快）

注意： 不要直接 clone 倉庫，xray 并不開源，倉庫內(nèi)不含源代碼，直接下載構(gòu)建的二進(jìn)制文件即可。

Windows版下載后可以得到 xray_windows_amd64.exe 文件，建議將這個exe執(zhí)行文件放到一個文件夾里 ，因?yàn)楹笃跁梢恍┪募?/p>

查看版本xray_windows_amd64.exe version

基本使用

指定單個URL

命令：./xray_darwin_arm64 webscan --url http://example.com/  --html-output single-url.html
說明：掃描指定的單個URL，掃描結(jié)果以html格式輸出

爬蟲模式

爬蟲模式是模擬人工去點(diǎn)擊網(wǎng)頁的鏈接，然后去分析掃描，和代理模式不同的是，爬蟲不需要人工的介入，訪問速度要快很多，但是也有一些缺點(diǎn)需要注意

• xray 的基礎(chǔ)爬蟲不能處理 js 渲染的頁面，如果需要此功能，請參考 版本對比

.\xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html#說明：使用爬蟲模式，先對指定的url進(jìn)行爬蟲，然后再進(jìn)行掃描，結(jié)果以json格式的文件輸出

注意：其中的爬蟲深度可以設(shè)置，具體位置為配置文件config.yml中basic-crawler參數(shù)的max_depth，設(shè)置為0為無限制

登陸后的網(wǎng)站掃描

如果用的是代理模式，只要瀏覽器是登錄狀態(tài)，那么漏洞掃描收到的請求也都是登錄狀態(tài)的請求。但對于普通爬蟲而言，就沒有這么“自動化”了， 但是可以通過配置 Cookie 的方式實(shí)現(xiàn)登錄后的掃描

打開配置文件，修改 http 配置部分的 Headers 項(xiàng):

http:headers:Cookie: key=value

上述配置將為所有請求（包括爬蟲和漏洞掃描）增加一條 Cookie key=value

HTTP代理模式

代理模式下的基本架構(gòu)為，掃描器作為中間人，首先原樣轉(zhuǎn)發(fā)流量，并返回服務(wù)器響應(yīng)給瀏覽器等客戶端，通訊兩端都認(rèn)為自己直接與對方對話，同時(shí)記錄該流量，然后修改參數(shù)并重新發(fā)送請求進(jìn)行掃描。

生成ca證書

在瀏覽器使用 https 協(xié)議通信的情況下，必須要得到客戶端的信任，才能建立與客戶端的通信。

這里的突破口就是 ca 證書。只要自定義的 ca 證書得到了客戶端的信任，xray 就能用該 ca 證書簽發(fā)各種偽造的服務(wù)器證書，從而獲取到通信內(nèi)容。

運(yùn)行 .\xray_windows_amd64.exe genca

運(yùn)行命令之后，將在當(dāng)前文件夾生成 ca.crt 和 ca.key 兩個文件。

安裝ca證書

導(dǎo)入ca.crt文件

啟動代理

在生成的 config.yml 文件中找到

• mitm 中 restriction 中 hostname_allowed 增加 testphp.vulnweb.com

xray 配置文件中默認(rèn)不允許掃描 gov 和 edu 等網(wǎng)站，如果想對這些網(wǎng)站進(jìn)行授權(quán)測試，需要移除 hostname_disallowed 的相關(guān)配置才可以。嚴(yán)禁未授權(quán)的測試！否則后果自負(fù)。

配置代理

瀏覽器將訪問Web流量轉(zhuǎn)發(fā)給本機(jī)的6868端口：

開始掃描

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:6868 --html-output xray-testphp.html說明：Xray監(jiān)聽本地的6868端口，結(jié)果通過html格式輸出，該模式的好吃就是通過人為手動點(diǎn)擊需要掃描的URL，相比前面兩種掃描方式，掃描準(zhǔn)確度更好，更多適用于手工滲透測試場景

然后打開代理，使用瀏覽器訪問 http://testphp.vulnweb.com/

訪問網(wǎng)站自動探測漏洞

然后就可以看到 xray 界面開始輸出漏洞信息

掃描報(bào)告

BurpSuite聯(lián)動xray

xray 開啟端口監(jiān)聽

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:6868 --html-output xray-testphp1.html

burpsuite 設(shè)置

User-Network - connections - upstream proxy servers -add

通過burp suite 訪問網(wǎng)站

xray自動探測漏洞

指定插件掃描

Xray本身的工作原理就是通過調(diào)用插件進(jìn)行漏洞探測的，有些場景下想針對某個URL進(jìn)行某一類漏洞的探測

 .\xray_windows_amd64.exe  webscan --plugins xss --url http://testphp.vulnweb.com/ --html-output plugins.html#說明：針對該URL只進(jìn)行xss漏洞的探測，探測結(jié)果以html格式輸出

結(jié)果輸出

漏洞掃描和運(yùn)行時(shí)的狀態(tài)統(tǒng)稱為結(jié)果輸出，xray 定義了如下幾種輸出方式：

• 1、Stdout (屏幕輸出, 默認(rèn)開啟)
• 2、JSON 文件輸出
  • 參數(shù): --json-output result.json
• 3、HTML 報(bào)告輸出
  • 參數(shù)：–html-output result.html
• 4、Webhook輸出

結(jié)果輸出

漏洞掃描和運(yùn)行時(shí)的狀態(tài)統(tǒng)稱為結(jié)果輸出，xray 定義了如下幾種輸出方式：

• 1、Stdout (屏幕輸出, 默認(rèn)開啟)
• 2、JSON 文件輸出
  • 參數(shù): --json-output result.json
• 3、HTML 報(bào)告輸出
  • 參數(shù)：–html-output result.html
• 4、Webhook輸出
  • 參數(shù)： --webhook-output