精华内容
下载资源
问答
  • xray高级版1.4.1.zip

    2020-11-09 14:45:06
    支持xray最新 1.4.1。目前可以在linux,windows上正常使用。个人使用,仅供学习请勿做违法的事
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp) 检测ThinkPHP开发的网站的相关漏洞 .. ⚡️ 进阶使用 下列高级用法请查看 https://docs.xray.cool/ 使用。 修改配置文件 抓取 https 流量 修改 http 发包配置 ...
  • 10月19日,由滴滴安全应急响应中心(DSRC)独家赞助的xray第二期线下沙龙在北京798文化广场顺利举行。此次沙龙有幸邀请到滴滴、360、虎牙、ChaMd5团队成员等圈内知名大佬。此次沙龙旨在通过议题分享的形式,为网络安全...
    10月19日,由滴滴安全应急响应中心(DSRC)独家赞助的xray第二期线下沙龙在北京798文化广场顺利举行。 此 次沙龙有幸邀请到滴滴、360、虎牙、ChaMd5团队成员等圈内知名大佬。此次沙龙旨在通过议题分享的形式,为网络安全研究者及爱好者提供一个相互交流、探讨的平台。  631df2310e5caf5088eabe4119d007e3.png 70余名小伙伴参与了我们精彩的线下沙龙活动,现场直播场外的观众也多达400余名。下面让我们来一起回顾下当天的精彩瞬间吧! 279ffb40c05f6dcdb38ddbf1973ce9b6.png xray团队核心工程师phithon带着《xray成长日记》精彩开场。主要介绍了设计xray和做社区的初衷,对比了Python和golang语言中设计xray遇到的问题。 e54e5d3d2bc0429175ab56dc0d05dfda.png《WEB蜜罐实现及运营》 第一位分享者是来自滴滴的安全工程师kevin,在本次议题中他着重介绍了其实现过程。从系统架构、CMS模拟、入侵检测、流量分析等方面系统的讲解了蜜罐的实现及运营过程。 ce47f2fd822c41935658a61ab771be2b.png 场下观众评论:kevin师傅讲的很全面、系统。同时,收集勒索家族的整套流程,linux内核的东西也有讲到,自动化做的比较好,给了同学们一些新的思路去建设运营。 《功守道-生成对抗网络在安全攻防中的应用》 第二位分享者是来自chaMD5的成员参数服务器。主要从四个方面进行了介绍:
    • 生成对抗网络(GAN)介绍

    • GAN在DGA域名和僵尸网络检测中的应用

    • GAN在文件类型识别中的应用

    • GAN在网络流量类型识别中的应用

    09e841eb8885ed412c8001bf7db63307.png 场下观众评论:以生动的老师形象,阐述着对机器学习分析的思维方式,把抽象思维形象化,便于大家理解。画家鉴赏家和蒙娜丽莎的几个图片令人印象深刻,但是内容有些学术。(大佬果然还是不一样!!)《openresty与waf二三事》      第三位分享者是来自虎牙的安全工程师vulntor,细致讲解了Openresty生态下的WAF。包括:相关API的正确用法、请求body的获取等方面。 663fe3793b65acb72c307336d317abf1.png 场下观众评论:详细的开源waf分析,通过官方的开发文档,了解其中函数可能存在问题,从而绕过waf。在甲方的日常安全工作中非常实用。  《窥见WMI》                   最后压轴出场的是来自360的安全工程师香山,WMI利用的精妙之处在于其作为win自带组件而可以免日志。本次议题不但从架构上梳理了利用原理,还给出了func,介绍了一批tools,提出内网横向渗透与防御思路。 48f06628c340781774ce64a7affe6601.png 场下观众评论:议题非常详细且实用,纵向介绍了WMI的历史、应用及不同技术的对比,还横向对比了不同技术的优缺点,同时给渗透工程师提出了很多建设性的意见。 23fd15d2faeaa8a9fc8c73ab3b7a6204.png茶歇与抽奖

    现场还准备了丰富的礼品:滴滴抱枕、滴滴帆布包、Pwnhub邀请码、xray文化衫、xray高级版。有趣的是,第一次抽奖中奖的便是xray工作人员,被主持人无情否决,心疼他一秒钟~

    c633550c551a33b3c8b8ce1abf248934.png 0913b09a1bbe2a38aec37d4f56fb086a.png cdd30341e1ebb63cebeeef4c49dbcebb.png     dd380277a83ad1d904953cf41d246dbb.png

    合作公司

    bbc1fcf7fe9e2422be9a3bf76bb5aad6.png

    滴滴出行安全应急响应中心(DSRC),是滴滴出行连接内外信息安全的桥梁,也是安全研究者反馈滴滴出行产品和业务安全问题的官方平台。DSRC旨在加强滴滴出行与安全业界的合作,提升滴滴出行整体安全水平,打造健康安全的互联网出行生态。

    DSRC官网:https://sec.didichuxing.com

    DSRC微信公众号:

    7a26fd238e5d28c5b233b19821309ffe.png   bec467bc477ad63d0171195210183f1a.png

    xray线下技术沙龙,旨在为安全从业者和安全爱好者搭建一个技术交流平台,也希望通过交流,让大家对xray社区提出更好的建议,xray希望与大家共同成长、共同进步。

    感谢本次活动的所有参与人员,也感谢滴滴安全应急响应中心(DSRC)对本次活动的大力支持! 同时,为了弥补场外观众,本次将在评论区留言随机抽取三名同学,获得我们的 xray高级版,我们下期再见啦! fb7ef3ee9698157b919161f79c2b18ea.png 备注:为您们争取了部分师傅们的议题ppt,请点击链接: https://pan.baidu.com/s/1mb4vdS_2wNqA5Eu_gX2M0w&shfl=shareset 提取码: i3ef    如果您是 安全公司的从业者 抑或是 热爱安全的白帽子 .... 如果您想和业界大佬面对面交流, 如果您愿意分享您的安全经验, 请加入我们! xray项目地址: https://chaitin.github.io/xray/# QQ:717365081 微信:chanyo1016
    展开全文
  • xray高级版,lincense,可使用到2099年。全版本(win,mac,linux)使用。个人自用版本。
  • xray高级版,lincense,可使用到2099年。版本(win,linux)使用。个人自用版本。
  • xray下载xray官方文档xray高级版证书生成xrag破解证书程序下载xray破解效果参考二、开始破解1.进入准备好的xray文件夹2.查看xray-crack的帮助信息3.开始破解三、破解成功四、欢迎购买《Python安全攻防:渗透测试实战...

    • xray下载

    • xray官方文档

    • xray高级版证书生成

    • xrag破解证书程序下载

    • xray破解效果

    • 参考

    二、开始破解

    1.进入准备好的xray文件夹

    670bc8d6d40c626470c16ca2051238b7.png

    2.查看xray-crack的帮助信息

    e1e1d2369eb55c5a89c37adc7a4d6d15.png

    3.开始破解

    feddf0685c3041de96f21f5254140941.png

    三、破解成功

    38f28ce1f3b8aa34505480f9da1abc7c.png

    四、欢迎购买《Python安全攻防:渗透测试实战指南》

    在网络安全领域,是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。如果你立志成为一名合格的安全从业者,就不能仅停留在使用他人工具的层面,应具备利用Python打造出属于自己的神兵利器的能力!具体目录及进展情况可在MS08067安全实验室公众号或官网https://www.ms08067.com中查看。

    d40006c8b4fd07cd3b276a8b4fa0181a.png

    五、内网安全:基础版+高级版

    具体地址:https://mp.weixin.qq.com/s/UWm-6XUJofIswRkjP7I2Cg

    09b446ac0b945d928eca7bf964c838a5.png

    展开全文
  • xray 1.4.2高级版.zip

    2020-11-11 09:24:46
    支持xray最新 1.4.2。目前可以在linux,windows,mac上正常使用。个人使用,仅供学习请勿做违法的事
  • 内含6.13的xray和一份高级版证书 xray不仅是漏洞检测工具和poc编写、运行工具,更是一个开放性的技术交流平台,是安全技术爱好者的大本营。高级版便是在原有社区版的基础上,充分吸纳使用者的反馈建议后,应运而生。
  • 项目地址https://github.com/chaitin/xray/背景在去年的 7 月 7 号,长亭科技四周年的大好日子,我们发布了两款新产品,洞鉴 和 牧云。洞鉴 以资产管理、安全评估、漏洞管理为中心,来解决传统漏洞扫描产品不够贴近...

    3fc917230fe086cbdb59e399d407fb17.png

    项目地址

    https://github.com/chaitin/xray/

    背景

    在去年的 7 月 7 号,长亭科技四周年的大好日子,我们发布了两款新产品,洞鉴牧云洞鉴 以资产管理、安全评估、漏洞管理为中心,来解决传统漏洞扫描产品不够贴近业务场景,很难做好安全闭环的问题;牧云 则是站在服务器的角度,为云平台提供更加强有力的安全支撑。这两款新产品的诞生填补了长亭在应用安全解决方案中的一大空缺。

    在洞鉴发布后的一年里,我们收到了许多使用者的反馈,收获了不少客户的认可。与此同时,也在迭代的过程中,发现与总结出了许多问题和不足之处。很多次有朋友联系到我,咨询如何以个人的身份体验一次洞鉴的功能,但由于业务模式的缘故,我只能遗憾地拒绝了他们。

    作为一家专心致志做技术、做产品的公司,我们抱着技术属于整个行业的态度,不愿意受到 ToB 商业模式的限制,非常愿意让更多的安全从业者使用我们的产品。在过去的几年中,我们开源了雷池的语义分析算法生成引擎,开源了牧云的核心技术,开源了许多我们内部的小工具,今天我们会以社区版工具的形式开放(非开源)洞鉴的核心能力,让更多的朋友和我们一起为更先进的漏洞扫描算法努力。

    关于 xray 社区版

    首先,xray 不是洞鉴,它是洞鉴核心扫描引擎提取物,重新包装以后提供了足够简单的命令行接口,以符合更多技术人员的使用需求。

    今天我们发布的 xray v0.1.0 不会包含洞鉴扫描引擎的所有功能,目前的功能只覆盖到:

    • 独立 URL 扫描
    • 基于 HTTP 代理的被动扫描
    • SQL 注入漏洞探测模块
    • 命令注入漏洞探测模块
    • 任意重定向漏洞探测模块
    • 路径遍历模块

    我们计划以相对较快的速度进行迭代,尽快将更多洞鉴产品的功能移植到 xray 中,也希望借助社区的力量收集更多的用户反馈,让 xray 得到更快的成长。

    特点

    我们看到许多企业在做安全建设的过程中都会加入漏扫产品,相较传统的漏洞扫描产品,抛开产品化的能力就引擎本身而言,xray 的主要特色在于:

    • 灵活的并发控制能力
    • 使用高级智能化攻击检测算法,大幅提升了结果的准确率与召回率
    • 全程采用 PoC 进行针对性探测,而非简单的指纹识别
    • Payload 质量高,确保不会对业务造成恶意影响

    使用方式

    xray 社区版下载地址: https://github.com/chaitin/xray/releases

    扫描单个 URL

    xray webscan --url "http://example.com/?a=b"

    使用 HTTP 代理发起被动扫描

    xray webscan --listen 127.0.0.1:7777

    设置浏览器 http 代理为 http://127.0.0.1:7777,就可以自动分析代理流量并扫描。

    手动指定需要使用的探测模块

    默认情况下,将会启用所有内置模块,也可以使用 --plugins 参数指定本次扫描需要启用的模块

    xray webscan --plugins cmd_injection,sqldet --url http://test.com

    xray webscan --plugins cmd_injection,sqldet --proxy 127.0.0.1:7777

    引擎初次运行时,会在当前目录内生成一个 config.yaml 文件,该文件中的配置项可以直接控制 xray 在运行时的状态。通过调整配置中的各种参数,可以满足不同场景下的需求,配置文件的具体格式请参考 xray 使用文档。

    讨论区

    1. Github issue: https://github.com/chaitin/xray/issues
    2. QQ 群: 717365081
    3. 微信群: 扫码加微信群,或者扫码加我的个人微信,我会把大家拉到 xray 官方微信群
    4. bithack 讨论区: https://bithack.io/forum/293

    46701267c7925cc4179e805d951ce6af.png
    展开全文
  • Xray使用

    2021-06-02 22:07:17
    xray 为单文件(绿色,不用就直接删除)命令行工具,且自带所有依赖,安装打开即可,无需安装 下载地址:https://github.com/chaitin/xray/releases 下载后,有exe文件,双击,同目录下生成一个文件 把exe拖进...

    xray 为单文件(绿色,不用就直接删除)命令行工具,且自带所有依赖,安装打开即可,无需安装
    下载地址:https://github.com/chaitin/xray/releases
    help
    下载后,有exe文件,双击,同目录下生成一个文件
    把exe拖进powershell加-h
    详细xray课程如下
    课程
    要在路径下执行命令webscan -h 查看webscan干啥的
    路径
    运行 C:\shentou\xray> .\xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/
    爬虫扫描某个网站
    这就是扫出来的漏洞
    漏洞

    代理

    代理
    代理能拿到完整的数据包
    在这里插入图片描述
    生成证书
    zhengs
    安装switchyomega代理插件,在浏览器导入证书
    修改config.yaml文件
    启动xray代理
    在这里插入图片描述
    浏览器配置xray代理127.0.0.1:7777
    打开testphp.vulnweb.com使用插件switchomega代理此站
    点击该页面会发现,xray在跑,实现联动
    在这里插入图片描述
    点啥扫啥,能控制扫描进度,耶!
    proxy.html报告还能边扫边看!
    升级后,无需重新安装证书。只要把证书还放在那个位置就行了。

    xray高阶玩法

    常用配置
    在这里插入图片描述
    在这里插入图片描述
    version 是配置文件版本,与xray无关
    plugins 插件开关
    log 日志等级,打印的详细程度
    mitm 被动代理

    basic——crawler 爬虫
    reverse
    http 控制发包行为,速率

    在这里插入图片描述
    在这里插入图片描述
    不让别人用我们的代理
    在这里插入图片描述
    在这里插入图片描述
    bp联动
    在这里插入图片描述
    在这里插入图片描述
    看一下xray在检测的时候发什么包
    设置bp的默认代理
    在这里插入图片描述
    bp使用默认代理127.0.0.1:8080
    流量经过xray再到bp

    联动成功
    在这里插入图片描述

    方式2
    在这里插入图片描述
    删除config.yaml文件的代理,避免发生循环
    在这里插入图片描述
    bp“用户选项”添加“顶级代理”127.0.0.1端口7777
    浏览器改为bp代理8080端口
    (这种也可以去github上下载插件)
    高级教程

    自定义poc

    在这里插入图片描述
    如果用vscode可以按照yaml插件
    设置-extension
    在这里插入图片描述
    点击这个
    在这里插入图片描述
    把xray在github上的使用手册的yaml源码粘贴进来
    在这里插入图片描述

    {
        "yaml.schemas": {
            "https://docs.xray.cool/assets/poc/yaml-poc-schema.json": "poc-yaml-*.yml"
        }
    }
    
    

    其实是加载一个给yaml校验用的模式,对"poc-yaml-*.yml"这种以poc-yaml-开头,以.yaml结尾的文件生效
    在这里插入图片描述
    poc对原始请求进行改造
    规则串联

    最简单poc的构成
    在这里插入图片描述
    detail与检测漏洞无关,是漏洞检测成功后,输出内容
    rules:
    方法变成get
    path变成根目录
    expression是计算意义的语句,执行为布尔型,必须返回布尔

    写个简单poc

    name: poc-yaml-example-com
    rules:
      - method: GET
        path: "/"
        expression: |
          response.status==200 && response.body.bcontains(b'Example Domain')
    
    detail:
      author: name(link)
      links: 
        - http://example.com
    
    

    把这个poc放到xray的目录下

    然后
    在这里插入图片描述
    在这里插入图片描述
    调试poc
    联动bp,看看xray发的包,是不是你所期望的

    展开全文
  • Xray 一款由长亭科技打造的安全评估工具(漏洞扫描器),支持主动扫描与被动扫描(被动扫描也可以试试w13scan) 下载地址:https://download.xray.cool/xray/?op=archive 使用参考:https://docs.xray.cool/#/README...
  • 长亭xray

    2020-09-02 14:49:56
    https://github.com/chaitin/xray/releases https://github.com/chaitin/xray 特色 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用方式,调用姿势方便,输入输出非常标准化...
  • 高级版用户 url一行一个放url.txt中 browserscan.py和xray.exe和rad.exe放同一文件夹 运行py: python3 browserscan.py etc 开源的样本大部分可能已经无法免杀,需要自行修改 我认为基础核心代码的开源能够帮助想学习...
  • 0x01 前言自从去年小白师傅在owasp论坛上分享过这个工具后,从此一发不可收拾,开启了躺着收洞的好日子(略浮夸~),本以为这个神器应该是小白入门标配,没想到前些日子看到官网...0x02 XRay介绍XRay是一款定位用于we...
  • Xray简单使用

    千次阅读 2020-03-13 10:09:18
    Xray简单使用教程 0X00下载 xray 为单文件二进制文件,无依赖,也无需安装,下载后直接使用。 下载地址为: Github: https://github.com/chaitin/xray/releases (国外速度快) 网盘: ...
  • xray 使用说明

    千次阅读 2021-01-27 08:49:32
    xray 社区是长亭科技推出的免费白帽子工具平台, 目前社区有 xray 漏洞扫描器和 Radium 爬虫工具, 由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。 ...xray 简介 ...大至 OWASP Top 10 通用... 高级..
  • xray_1.7.1-1

    2021-04-29 22:02:09
    xray (https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux ...
  • xray使用1

    2021-01-17 19:33:27
    高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。 漏洞检测...
  • 工具之xray使用教程

    万次阅读 2020-11-04 09:02:01
    xray扫描器 xray是一种功能强大的扫描工具。xray 社区是长亭科技推出的免费白帽子工具平台,目前社区有 xray 漏洞扫描器和 Radium 爬虫工具,由多名经验丰富的安全开发者和数万名社区贡献者共同打造而成。 下载...
  • Xray使用学习小计

    千次阅读 2020-05-15 23:17:46
    首先,先吹一波xray,虽然我用的不是高级版/。。 xray作为一款被动扫描器:很强。。。。 0X01、基础使用 最基础的扫描: ./xray webscan --basic-crawler http://example.com/ xray 可以指定报告的生成...
  • Xray常用使用命令

    千次阅读 2020-09-03 13:37:22
    一个专门的测试网站,我们就用它来测试今天的xray 一、爬虫模式 http://testphp.vulnweb.com/ 扫描一个网站 xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ 其中一个漏洞 payload是...
  • https://github.com/chaitin/xray/releases https://github.com/chaitin/xray 特色 使用 go 语言编写,跨平台、纯异步、无阻塞,并发能力强,扫描速度刚刚的 提供多种使用方式,调用姿势方便,输入输出非常标准化...
  • burpsuite联动xray进行web安全评估

    千次阅读 2020-12-08 15:50:21
    xray(https://github.com/chaitin/xray) 是从长亭洞鉴核心引擎中提取出的社区漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux ...
  • Web漏洞扫描神器:xray

    2021-01-23 18:10:44
    xray是从长亭洞鉴核心引擎中提取出的社区漏洞扫描神器,支持主动、被动多种扫描方式,自备盲打平台、可以灵活定义 POC,功能丰富,调用简单,支持 Windows / macOS / Linux 多种操作系统,可以满足广大安全从业者...
  • 挖洞神器之XRAY使用初体验

    千次阅读 2020-03-09 11:21:59
    前几天白嫖了XRAY高级版,因此试着利用XRAY + AWVS的形式来看看能不能找到CNVD上公布的问题CMS的漏洞。 我们都知道cnvd发布突破公告的时候是没有详细细节的,因此只能根据突破的种类自己去寻找突破点,如果cnvd...
  • (高级版,key: struts) Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 Xray下载地址:...
  • Xray与Goby、Burp联动

    2021-06-11 21:50:26
    目录联动篇Xray与Rad联动Xray与Goby联动Xray与burp联动参考文献 联动篇 Xray和goby在这里就不赘述了 Xray与Rad联动 现在xray端起一个监听127.0.0.1:7777 命令: xray webscan --listen 127.0.0.1:7777 --...
  • xray使用及与burp联动

    2021-07-21 10:03:23
     linux / Mac用户在终端(终端)运行,Windows用户请在Powershell或其他高级Shell中运行,在CMD中运行可能体验不佳。 浏览器导入证书:  生成CA证书:.\xray_windows_amd64.exe genca  导入到浏览器 burp与xyay...
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp) POC 框架 (key: phantasm) 其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。 设计理念 发最少的包做效果最好的探测。 ...
  • Xray爬虫如何联动到Goby

    千次阅读 2020-11-03 11:42:43
    可以进行web爬虫的Xray插件如何插入一段漂亮的代码片生成一个适合你的列表创建一个表格设定内容居中、居左、居右SmartyPants创建一个自定义列表如何创建一个注脚注释也是必不可少的KaTeX数学公式新的甘特图功能,...

空空如也

空空如也

1 2 3 4 5 ... 17
收藏数 336
精华内容 134
关键字:

xray高级版