简介:
xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:
- 检测速度快。发包速度快; 漏洞检测算法高效。
- 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
- 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
- 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
- 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。
目前支持的漏洞检测类型包括:
- XSS漏洞检测 (key: xss)
- SQL 注入检测 (key: sqldet)
- 命令/代码注入检测 (key: cmd_injection)
- 目录枚举 (key: dirscan)
- 路径穿越检测 (key: path_traversal)
- XML 实体注入检测 (key: xxe)
- 文件上传检测 (key: upload)
- 弱口令检测 (key: brute_force)
- jsonp 检测 (key: jsonp)
- ssrf 检测 (key: ssrf)
- 基线检查 (key: baseline)
- 任意跳转检测 (key: redirect)
- CRLF 注入 (key: crlf_injection)
- Struts2 系列漏洞检测 (高级版,key: struts)
- Thinkphp系列漏洞检测 (高级版,key: thinkphp)
- POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。
设计理念
- 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。
- 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。
- 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。
- 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。
- 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。
简易架构
了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。
整体来看,扫描器这类工具大致都是由三部分组成:
- 来源处理
- 漏洞检测
- 结果输出
来源处理
这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了 5 个入口,分别是
- HTTP 被动代理
- 简易爬虫
- 单个 URL
- URL列表的文件
- 单个原始 HTTP 请求文件
漏洞检测
这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。
结果输出
漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式:
- Stdout (屏幕输出, 默认开启)
- JSON 文件输出
- HTML 报告输出
- Webhook 输出
在使用 xray 的过程中只要谨记这三个部分,所有的命令行用法就看起来很简单了。 接下来就让我们上路吧。
下载运行:
下载地址:
- Github: https://github.com/chaitin/xray/releases (国外速度快)
- 网盘: https://yunpan.360.cn/surl_y3Gu6cugi8u (国内速度快)
注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含源代码,直接下载构建的二进制文件即可。
xray 跨平台支持,请下载时选择需要的版本下载。
Windows下xray安装:
windows_amd64Windows x64windows_386Windows x86
系统版本要求大于等于 Windows 7 或大于等于 Windows Server 2008 R2, 不支持 Windows XP、Windows 2003 等低版本系统。
对于 release 中的其他文件,说明如下:
sha256.txt校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。Source CodeGithub 自动打包的,无意义,请忽略。
Mac下xray安装:
darwin_amd64MacOS
支持的系统版本为大于等于 10.10
对于 release 中的其他文件,说明如下:
sha256.txt校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。Source CodeGithub 自动打包的,无意义,请忽略。
Linux下xray安装
linux_amd64Linux x64linux_386Linux x86
要求内核版本大于等于 2.6.23。不支持 CentOS 5, 因为内核太旧了 (2.6.18)。
对于 release 中的其他文件,说明如下:
sha256.txt校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。Source CodeGithub 自动打包的,无意义,请忽略。
Windows下xray运行:
以下载到 C:Users$UserDownloads 为例,右键解压,就可以得到 xray_windows_amd64.exe 文件了(有的解压软件还会创建一个 xray_windows_amd64.exe 的文件夹,不要和最终的可执行文件混淆了)。
使用桌面左下方的的搜索框,输入 PowerShell,点击 Windows PowerShell,进入命令终端。
然后 cd 到下载目录,运行 .xray_windows_amd64.exe version 即可查看 xray 的版本号。
Mac下xray运行:
以下载到 ~/Downloads 为例,双击解压,就可以得到 xray_darwin_amd64 文件了。
打开使用的终端工具,比如 Terminal 或者 iTerm
然后 cd 到下载目录,运行 ./xray_darwin_amd64 version 即可查看 xray 的版本号。
Linux下xray运行:
以下载到 ~/xray 为例,使用 unzip 命令解压,就可以得到 xray_linux_amd64 文件了。
然后运行 ./xray_linux_amd64 version 即可查看 xray 的版本号。
代理模式进行被动扫描:
使用 xray 代理模式进行漏洞扫描
代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。
生成 ca 证书
在浏览器使用 https 协议通信的情况下,必须要得到客户端的信任,才能建立与客户端的通信。
这里的突破口就是 ca 证书。只要自定义的 ca 证书得到了客户端的信任,xray 就能用该 ca 证书签发各种伪造的服务器证书,从而获取到通信内容。
Windows:
运行 .xray_windows_amd64.exe genca
运行命令之后,将在当前文件夹生成 ca.crt 和 ca.key 两个文件。
本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crt 和 ca.key 文件。
Macos:
运行 ./xray_darwin_amd64 genca 即可生成 ca 证书,保存为 ca.crt 和 ca.key 两个文件。
运行命令之后,将在当前文件夹生成 ca.crt 和 ca.key 两个文件。
本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crt 和 ca.key 文件。
Linux:
运行 ./xray_darwin_amd64 genca 即可生成 ca 证书,保存为 ca.crt 和 ca.key 两个文件。
运行命令之后,将在当前文件夹生成 ca.crt 和 ca.key 两个文件。
本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crt 和 ca.key 文件。
安装ca证书:
如果使用的是 FireFox 浏览器,请参照这里,它有自己的证书体系。
如果使用的是 IE、Chrome、curl 等客户端,建议将 ca 证书安装在操作系统上,请参照下方的教程
详情见下文链接
https://xray.cool/xray/#/tutorial/webscan_proxy
启动代理:
在扫描之前,我们还需要做一些必要的设置
第一次启动 xray 之后,当前目录会生成 config.yml 文件,选择文件编辑器打开,并按照下方说明修改。
mitm中restriction中includes由*改为testphp.vulnweb.com
mitm:
...
restriction:
includes:
- "testphp.vulnweb.com"因为我们的测试目标站就是 http://testphp.vulnweb.com,增加这个过滤之后,xray 将只会扫描该站的流量,避免扫描到非授权目标站点。
对于配置文件中的更多解读,请参考文档中的 配置 章节。
- 设定漏洞扫描结果的输出,这里选择使用 html 文件输出,所以命令行后面要增加
--html-output xray-testphp.html。
Windows启用扫描:
代码语言:javascript复制.xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.htmlMacos启用扫描:
代码语言:javascript复制./xray_darwin_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.htmlLinux启用扫描:
代码语言:javascript复制./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html常见问题
- 如何退出?
ctrlc - 提示
file xray-testphp.html already exists,可以删除已经存在的报告文件,或者使用一个新的文件名,或者在文件名中加入__timestamp__或__datetime__将自动替换为实际值。
配置代理:
详情见下文链接:
https://xray.cool/xray/#/tutorial/webscan_proxy
开始扫描
使用浏览器访问 http://testphp.vulnweb.com/
然后就可以看到 xray 界面开始输出漏洞信息,下面是几个快速链接,可以点击用于体验更多的漏洞类型的扫描
- http://testphp.vulnweb.com/listproducts.php?cat=1
- http://testphp.vulnweb.com/artists.php?artist=2
- http://testphp.vulnweb.com/redir.php?r=http://www.w3.org
使用爬虫主动扫描:
爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意
- xray 的基础爬虫不能处理 js 渲染的页面,如果需要此功能,请参考 版本对比
- 需要首先人工配置登录 cookie,必需的 http 头等,如果登录失败,也不容易发现问题
启用爬虫:
Windows:
代码语言:javascript复制./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.htmlLinux:
代码语言:javascript复制./xray_linux_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.htmlMacos:
代码语言:javascript复制./xray_darwin_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html使用 xray 进行服务扫描
xray 中最常见的是 web 扫描,但是 xray 将会逐渐开放服务扫描的相关能力,目前主要是服务扫描相关的 poc。老版本升级的用户请注意配置文件需要加入服务扫描的相关 poc 名字,目前只有一个 tomcat-cve-2020-1938 ajp 协议任意文件检测 poc。
参数配置目前比较简单,输入支持两种方式,例如:
代码语言:javascript复制快速检测单个目标
./xray servicescan --target 127.0.0.1:8009
批量检查的 1.file 中的目标, 一行一个目标,带端口
./xray servicescan --target-file 1.file
将检测结果输出到 json 文件中
./xray servicescan --target 127.0.0.1:8099 --json-output 1.json NAME:
servicescan - Run a service scan task
USAGE:
servicescan [command options] [arguments...]
OPTIONS:
--target value specify the target, for example: host:8009
--target-file value load targets from a local file, one target a line
--json-output FILE output xray results to FILE in json format今天的文章到这吧,喜欢就点个赞加关注呗
