xray与burpsuite联动——详细说明加举例复现sql注入漏洞

已于 2022-03-02 08:25:51 修改
阅读量1.6k 收藏 3
点赞数 3
CC 4.0 BY-SA版权
分类专栏: 漏洞复现 渗透工具使用 文章标签: sql 数据库 database
于 2022-01-14 01:32:38 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-NC-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xiaofengdada/article/details/122486128
本文介绍了如何使用xray配置代理,并与burpsuite配合,通过浏览器代理设置,复现并检测SQL注入漏洞。在开启burp代理后,xray持续爬取并分析数据包,揭示了SQL注入和XSS漏洞。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

一、xray配置代理

awvs 的爬虫很好用,支持表单分析和单页应用的爬取,xray 的扫描能力比较强,速度也更快。awvs 和 xray 搭配使用则是如虎添翼上两章已经主要介绍过了,有不理解的小伙伴可以参考。

xray——详细使用说明(一)_xiaofengdada的博客-CSDN博客

xray——详细使用说明(二)_xiaofengdada的博客-CSDN博客

这里演示的是扫描 我的个人漏洞靶场,首先启动 xray 的被动代理,下面的命令将启动一个监听在所有网卡 7777 端口的 HTTP 代理, 并将扫描结果保存在 test.html 内。

xray webscan -
了解本专栏 订阅专栏 解锁全文 超级会员免费看
复现xray——CVE-2021-41349(MicrosoftExchangeServeXSS)
记录并分享学习安全的知识点..
04-27 4302
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、漏洞描述 Microsoft Exchange Server 是微软公司的一套电子邮件服务组件,是个消息协作系统。Exchange server 可以被用来构架应用于企业、学校的邮件系统,Exchange Server 支持多种电子邮件网络协议,如 SMTP、NNTP、POP3 和 IMAP4 。Exchange Server 能够微软公司的域活动目录结合,在国内外应用广泛。 二、影响版本 Microsoft Exchang.
payload sql注入_优客365_v2.9 SQL注入漏洞复现(附POC)
weixin_39778582的博客
11-27 443
面由心生,相随貌转。俗话说得好HTTP_REFERER注入1、漏洞编号CNVD-2017-120172、漏洞介绍优客365是一个基于 PHP+MYSQL 开发构建的开源网站分类目录管理系统,在 2.9 版本的首页 index.php 存在基于 HTTP-REFERER 字段的 SQL 注入漏洞,攻击者可利用该漏洞执行任意 SQL 语句,获得数据库敏感信息。3、源码分析index.php...
Xrayburpsuite联动被动扫描
遇事不决冲冲冲
12-26 1万+
Xray捡洞中的高频漏洞 Xrayburpsuite联动实现被动漏扫 xray 1.8.2pro破解版 常见问题 - xray 安全评估工具文档
rad -> burpsuite -> x-ray 联动
最新发布
m0_72199724的博客
05-09 137
本文介绍了使用多种工具进行网络安全测试的流程。首先,通过rad工具爬取目标网站数据,并将数据通过Burp Suite进行代理处理。接着,使用x-ray工具对Burp Suite的数据进行扫描,生成HTML格式的测试报告。此外,还介绍了nuclei工具的安装使用,包括从GitHub下载、解压、安装到本地,并通过命令行进行漏洞扫描。最后,nuclei的扫描结果可以上传至云端进行进一步分析。整个过程涵盖了从数据爬取、代理处理、漏洞扫描到结果上传的完整测试流程。
Xray扫描器
热门推荐
秋水的博客
10-06 3万+
简介 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下 独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块 任意重定向检测模块 路径遍历模块 Xray扫描器内置插件 XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet...
记一次SQL注入漏洞复现
qq_44954947的博客
05-01 959
很多小伙伴不知道漏洞复现怎么写,今天给大家看看我的…大佬勿喷 至于我为什么没有继续下去,大家可以去读一下白帽子行为规范,漏洞复现只需要证明存在该漏洞就行了 ...
xary 扫描器教程Burpsuite联动一条龙服务
WLWB9277的博客
07-30 1732
下载好后有好几个系统版本,根据自己的情况安装。安装好后有这样几个配置文件。
使用 Burpsuite xray 进行联动
gaomei2009的专栏
08-03 2065
使用 Burpsuite xray 进行联动
XrayBurpsuite联动自动化安全评估脚本
标签“xray burpsuite script”指向了核心内容,即本次文档讨论的焦点是 Xray Burp Suite 的联动脚本。标签中的“script”暗示着本文将涵盖自动化脚本的编写使用。 #### 文件名称解析 文件名“xray_run_with_...
网站漏洞扫描软件Burp suite和Xray安装应用及联合使用
XLbb的博客
07-23 3005
Burp suite是web应用程序测试的最佳工具之一,其多种功能可以帮助我们执行各种任务;包括数据包请求拦截修改、扫描web应用程序漏洞,以及暴力破解登录菜单,执行会话令牌等多种的随机性检查。 xray社区是长亭科技推出的免费白帽子工具平台,目前社区有xray、xpoc和radium工具,均有多名经验丰富的安全开发人员;以及数以万名社区贡献者共同打造而成;相比于其他国外扫描器,xray支持反向扫描,可以进行配合手工检测。
安全测试|如何使用burpsuite+xray实现联动测试
NHB66666666的博客
09-24 360
目的:安全测试过程中手动分析测试xray自动化扫描测试结合,这样可以从多层保障安全测试的分析,针对平台业务接口量大的安全测试是十分有用的,可以实现双向测试同时开始。1.1 下载地址:xray community2.1 运行 .\xray_windows_amd64.exe genca 生成证书2.2 双击安装证书。
xray漏洞扫描利器
zkaqlaoniao的博客
11-07 7703
长亭科技旗下的一款网络安全漏洞扫描工具,用于检测和评估web应用程序的安全性。具有一下特点:检测速读快、检查范围广、代码质量高、高级可定制以及安全无危害。属于不开源的项目,用户直接下载xray的可执行文件,即可运行该工具xray使用了burpsuit一样的盈利模式:社区版、高级版和企业版XSS漏洞检测 (key: xss)SQL 注入检测 (key: sqldet)命令/代码注入检测 (key: cmd-injection)目录枚举 (key: dirscan)
xray的安装及使用_xray下载安装教程,15分钟的字节跳动视频面试
uiuuyy67的博客
04-15 1586
在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。说明Xray监听本地的8080端口,结果通过html格式输出,该模式的好吃就是通过人为手动点击需要扫描的URL,相比前面两种扫描方式,扫描准确度更好,更多适用于手工渗透测试场景。说明:(在漏洞扫描前会先进行基础爬虫爬取页面,相比来源处理一单个URL,会先对提供的URL进行爬虫扫描,扫描链接更多,扫描也更全面)
XRAY 使用方法归纳
weixin_68177269的博客
11-29 2582
打开webscan功能扫描web漏洞,同时监听本机7891端口目的是burp结合。在浏览器管理证书选项-受信任的根证书颁发机构中导入该证书。(命令中的网址可以是ip地址,也可以是域名地址)第一次实现扫描功能需要将生成的证书导入到浏览器。使用基础爬虫爬取,并对爬取连接进行漏洞扫描。运行该命令之后,会在目录下生成一个证书。之后就会在该目录生成漏洞信息的文件。打开xray所在目录,打开终端。二、被动扫描(burp结合)1.打开端口监听,导入证书。同样在终端中输入命令。
Xray捡洞中的高频漏洞
m0_49936858的博客
08-12 1万+
用 X-Ray 刷洞发现一些出现频率高的漏洞,把漏洞原理和利用方式稍作整理,按照危害排名,低危漏洞可以收集一些信息然后深度利用变高危。
漏洞扫描工具之xray
qq_25096749的博客
01-31 503
下载地址:https://github.com/chaitin/xray/releases 1.9.11使用文档:https://docs.xray.cool/tools/xray/Scanningburpsuite联动: https://xz.aliyun.com/news/7563。
web安全:SQL注入攻击基础
平平无奇
08-15 445
一、SQL注入攻击 1.Timing Attack 通过判断本次查询时间,验证是否存在注入漏洞 union select benchmark(100000,encode(‘hello’,‘goodbye’)); (1)如果当前数据库用户(current_user)具有写权限,那么攻击者还可以将信息写入本地磁盘中。比如写入Web目录中,攻击者就有可能下载这些文件: Union All SELECT ...
Xray基础使用介绍
weixin_44805159的博客
10-10 1万+
官方使用文档:https://docs.xray.cool/#xray简介xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有: 检测速度快。发包速度快; 漏洞检测算法高效。 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客
SQL手工注入网站笔记
swaggy_tt的博客
12-03 827
SQL手工注入网站笔记 目标网站:http://testphp.vulnweb.com/listproducts.php?cat=1 1.判断注入点: http://testphp.vulnweb.com/listproducts.php?cat=1’ http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=1 永真条件,回显正常 http://testphp.vulnweb.com/listproducts.php?cat=1 and 1=2 永假
AWVS、xrayburpsuite怎么联动扫描
09-23
AWVS、xray和Burp Suite可以通过设置代理来进行联动扫描。下面是它们的具体配置步骤: 1. 首先,需要启动xray并设置其监听地址和端口。例如,可以在命令行中运行以下命令: ``` xray_windows_amd64.exe webscan --listen 10.30.20.68:7777 --html-output 2022.html ``` 2. 接下来,在Burp Suite的用户设置中,配置上游代理设置为xray所监听的地址(10.30.20.68:7777)。 3. 在浏览器中设置代理,确保Burp Suite的设置保持一致。 4. 然后,启动AWVS并添扫描目标。保存后,在Proxy Server选项中设置xray一样的IP地址和端口(10.30.20.68:7777)。 5. 最后,选择仅扫描模式,AWVS将不进行漏洞扫描,而是将流量传递给xray进行漏洞扫描。 通过以上配置,AWVS、xray和Burp Suite就可以实现联动扫描。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

xiaochuhe--kaishui

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值