【漏洞扫描器】Xray+BP+AWVS扫描器联动漏洞挖掘

一、Xray的使用

1、命令行版的使用

先双击进入xray命令行版的目录下

image-20240220175746355

再执行如下命令:

1
2
3
4
5
6
7
1、主动扫描:单个url扫描
xray_windows_amd64.exe webscan --url "http://example.com/?a=b"
2、被动扫描:使用http代理进行扫描(需要在浏览器配置7777的代理)
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html
3、指定模块扫描(命令执行和SQL注入模块):
xray_windows_amd64.exe webscan --plugins cmd_injection,sqldet --url http://test.com
xray_windows_amd64.exe webscan --plugins cmd_injection,sqldet --proxy 127.0.0.1:7777

2、GUI-Xray版使用

image-20240220180859676

被动扫描不需要指定url 目标,但是需要在浏览器配置xray 被动监听的代理

二、Xray 和 BP联动

1、Xray 开启被动监听

1
xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output proxy.html

2、BP设置上游代理服务器到xray 被动监听端口

image-20240220180108500

3、之后在浏览器配置BP 的代理即可

三、Xray+AWVS 联动

在AWVS配置好被动监听的xray 即可,注意保存后扫描

image-20240221144043219

四、Xray+BP+AWVS 联动

1、先配置好Xray + BP 联动

2、配置AWVS(记得在AWVS右上方先保存再扫描)

image-20240221142756519

3、开始扫描,扫描信息会保存至AWVS 和 xray 的输出文件中

image-20240221144845892

4、扫描出来将近两百条漏洞相关信息

image-20240221150637136