xray 簡介

xray 是一款功能強大的安全評估工具，由多名經(jīng)驗豐富的一線安全從業(yè)者嘔心打造而成，主要特性有:

• 檢測速度快。發(fā)包速度快; 漏洞檢測算法效率高。
• 支持范圍廣。大至 OWASP Top 10 通用漏洞檢測，小至各種 CMS 框架 POC，均可以支持。
• 代碼質量高。編寫代碼的人員素質高, 通過 Code Review、單元測試、集成測試等多層驗證來提高代碼可靠性。
• 高級可定制。通過配置文件暴露了引擎的各種參數(shù)，通過修改配置文件可以客制化功能。
• 安全無威脅。xray 定位為一款安全輔助評估工具，而不是攻擊工具，內置的所有 payload 和 poc 均為無害化檢查。

目前支持的漏洞檢測類型包括:

• XSS漏洞檢測 (key: xss)
• SQL 注入檢測 (key: sqldet)
• 命令/代碼注入檢測 (key: cmd-injection)
• 目錄枚舉 (key: dirscan)
• 路徑穿越檢測 (key: path-traversal)
• XML 實體注入檢測 (key: xxe)
• 文件上傳檢測 (key: upload)
• 弱口令檢測 (key: brute-force)
• jsonp 檢測 (key: jsonp)
• ssrf 檢測 (key: ssrf)
• 基線檢查 (key: baseline)
• 任意跳轉檢測 (key: redirect)
• CRLF 注入 (key: crlf-injection)
• Struts2 系列漏洞檢測 (高級版，key: struts)
• Thinkphp系列漏洞檢測 (高級版，key: thinkphp)
• XStream 系列漏洞檢測 (key: xstream)
• POC 框架 (key: phantasm)

其中 POC 框架默認內置 Github 上貢獻的 poc，用戶也可以根據(jù)需要自行構建 poc 并運行。

XRAY安裝

• Github: https://github.com/chaitin/xray/releases （國外速度快）
• CT stack: https://stack.chaitin.com/tool/detail?id=1 （國內速度快）

注意： 不要直接 clone 倉庫，xray 并不開源，倉庫內不含源代碼，直接下載構建的二進制文件即可。

Windows版下載后可以得到 xray_windows_amd64.exe 文件，建議將這個exe執(zhí)行文件放到一個文件夾里 ，因為后期會生成一些文件

查看版本xray_windows_amd64.exe version

基本使用

指定單個URL

命令：./xray_darwin_arm64 webscan --url http://example.com/  --html-output single-url.html
說明：掃描指定的單個URL，掃描結果以html格式輸出

爬蟲模式

爬蟲模式是模擬人工去點擊網(wǎng)頁的鏈接，然后去分析掃描，和代理模式不同的是，爬蟲不需要人工的介入，訪問速度要快很多，但是也有一些缺點需要注意

• xray 的基礎爬蟲不能處理 js 渲染的頁面，如果需要此功能，請參考 版本對比

.\xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html#說明：使用爬蟲模式，先對指定的url進行爬蟲，然后再進行掃描，結果以json格式的文件輸出

注意：其中的爬蟲深度可以設置，具體位置為配置文件config.yml中basic-crawler參數(shù)的max_depth，設置為0為無限制

登陸后的網(wǎng)站掃描

如果用的是代理模式，只要瀏覽器是登錄狀態(tài)，那么漏洞掃描收到的請求也都是登錄狀態(tài)的請求。但對于普通爬蟲而言，就沒有這么“自動化”了， 但是可以通過配置 Cookie 的方式實現(xiàn)登錄后的掃描

打開配置文件，修改 http 配置部分的 Headers 項:

http:headers:Cookie: key=value

上述配置將為所有請求（包括爬蟲和漏洞掃描）增加一條 Cookie key=value

HTTP代理模式

代理模式下的基本架構為，掃描器作為中間人，首先原樣轉發(fā)流量，并返回服務器響應給瀏覽器等客戶端，通訊兩端都認為自己直接與對方對話，同時記錄該流量，然后修改參數(shù)并重新發(fā)送請求進行掃描。

生成ca證書

在瀏覽器使用 https 協(xié)議通信的情況下，必須要得到客戶端的信任，才能建立與客戶端的通信。

這里的突破口就是 ca 證書。只要自定義的 ca 證書得到了客戶端的信任，xray 就能用該 ca 證書簽發(fā)各種偽造的服務器證書，從而獲取到通信內容。

運行 .\xray_windows_amd64.exe genca

運行命令之后，將在當前文件夾生成 ca.crt 和 ca.key 兩個文件。

安裝ca證書

導入ca.crt文件

啟動代理

在生成的 config.yml 文件中找到

• mitm 中 restriction 中 hostname_allowed 增加 testphp.vulnweb.com

xray 配置文件中默認不允許掃描 gov 和 edu 等網(wǎng)站，如果想對這些網(wǎng)站進行授權測試，需要移除 hostname_disallowed 的相關配置才可以。嚴禁未授權的測試！否則后果自負。

配置代理

瀏覽器將訪問Web流量轉發(fā)給本機的6868端口：

開始掃描

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:6868 --html-output xray-testphp.html說明：Xray監(jiān)聽本地的6868端口，結果通過html格式輸出，該模式的好吃就是通過人為手動點擊需要掃描的URL，相比前面兩種掃描方式，掃描準確度更好，更多適用于手工滲透測試場景

然后打開代理，使用瀏覽器訪問 http://testphp.vulnweb.com/

訪問網(wǎng)站自動探測漏洞

然后就可以看到 xray 界面開始輸出漏洞信息

掃描報告

BurpSuite聯(lián)動xray

xray 開啟端口監(jiān)聽

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:6868 --html-output xray-testphp1.html

burpsuite 設置

User-Network - connections - upstream proxy servers -add

通過burp suite 訪問網(wǎng)站

xray自動探測漏洞

指定插件掃描

Xray本身的工作原理就是通過調用插件進行漏洞探測的，有些場景下想針對某個URL進行某一類漏洞的探測

 .\xray_windows_amd64.exe  webscan --plugins xss --url http://testphp.vulnweb.com/ --html-output plugins.html#說明：針對該URL只進行xss漏洞的探測，探測結果以html格式輸出

結果輸出

漏洞掃描和運行時的狀態(tài)統(tǒng)稱為結果輸出，xray 定義了如下幾種輸出方式：

• 1、Stdout (屏幕輸出, 默認開啟)
• 2、JSON 文件輸出
  • 參數(shù): --json-output result.json
• 3、HTML 報告輸出
  • 參數(shù)：–html-output result.html
• 4、Webhook輸出

結果輸出

漏洞掃描和運行時的狀態(tài)統(tǒng)稱為結果輸出，xray 定義了如下幾種輸出方式：

• 1、Stdout (屏幕輸出, 默認開啟)
• 2、JSON 文件輸出
  • 參數(shù): --json-output result.json
• 3、HTML 報告輸出
  • 參數(shù)：–html-output result.html
• 4、Webhook輸出
  • 參數(shù)： --webhook-output