Xray安装与使用

Posted 2023-03-23 Poolhuang

1、简介

xray是从长亭洞鉴核心引擎中提取出的社区版漏洞扫描神器，支持主动、被动多种扫描方式，自备盲打平台、可以灵活定义 POC，功能丰富，调用简单，支持 Windows / macOS / Linux 多种操作系统，可以满足广大安全从业者的自动化 Web 漏洞探测需求。

2、下载地址

根据自己系统环境下载相应版本；

https://github.com/chaitin/xray/releases

3、安装

Windows系统最好在Powellshell下运行，先cd到xray目录下然后再运行.\\xray_windows_amd64.exe genca生成证书；

 4、安装证书

5、基础命令

5.1、爬虫模式：

直接调用去扫描一个指定的站点，这里使用的是一个测试专门网站：http://testphp.vulnweb.com/

.\\xray_windows_amd64.exe webscan --basic-crawler http://testphp.vulnweb.com/ --html-output 1.html

简单验证一下xss：

 

注：不同参数对应不同的输出方式：

            无参数：输出到控制台的标准输出
            --`text-output`：输出到文本文件中
            --`json-output`：输出到 JSON 文件中
            --`html-output`：输出到 HTML 文件中

5.2、代理模式：

Xray安装证书后，设置浏览器代理：

.\\xray_windows_amd64.exe webscan --listen 127.0.0.1:4444 --html-output 2.html

 

5.3、 xray＋burp：

 ①、在burpsuite中设置二级代理
在burpsuite中打开 user options标签在upstream proxy servers中点击add添加代理和端口

②、浏览器设置burp代理

③、使用burp抓包，并放给xray；

 ④、xray建立监听

监听127.0.0.1 9999端口；
.\\Xray_windows_amd64.exe webscan --listen 127.0.0.1:9999 --html-output 3.html

注：插件列表：

    SQL 注入检测 (key: sqldet)
    支持报错注入、布尔注入和时间盲注等XSS 检测（key: xss）
    支持扫描反射型、存储型 XSS命令/代码注入检测 (key: cmd_injection)
    支持 shell 命令注入、PHP 代码执行、模板注入等目录枚举 (key: dirscan)
    检测备份文件、临时文件、debug 页面、配置文件等10余类敏感路径和文件路径穿越检测 (key: path_traversal)
    支持常见平台和编码XML 实体注入检测 (key: xxe)
    支持有回显和反连平台检测POC 管理 (key: phantasm)
    默认内置部分常用的 POC，用户可以根据需要自行构建 POC 并运行。可参考：POC 编写文档文件上传检测 (key: upload)
    支持检测常见的后端服务器语言的上传漏洞弱口令检测 (key: brute_force)
    支持检测 HTTP 基础认证和简易表单弱口令，内置常见用户名和密码字典JSONP 检测 (key: jsonp)
    检测包含敏感信息可以被跨域读取的 jsonp 接口SSRF 检测 (key: ssrf)
    ssrf 检测模块，支持常见的绕过技术和反连平台检测基线检查 (key: baseline)
    检测低 SSL 版本、缺失的或错误添加的 http 头等任意跳转检测 (key: redirect)
    支持 HTML meta 跳转、30x 跳转等CRLF 注入 (key: crlf_injection)
    检测 HTTP 头注入，支持 query、body 等位置的参数…

我的世界Xray安装方法和使用方法

1.网上搜索Xray，下载文件

2.打开.minecraft，也就是Minercraft核心文件。

3.在其中点开versions。

4.在其中你可以看到与你版本相对应的文件夹，点开它。

点开之后，在其中可以发现有 相应的版本.jar 用压缩包的形式打开它。

5.在此其中，您可以看到META-INF文件，删除它！

6.最后一步，就是将您的xray中的文件全部拉进去！

7.完成

参考技术A 以下两种情况 你参考吧
打开minecraft,点versions,打开1.7.2,用360压缩打开1.7.2.jar,
把meta-inf给删了,然后把x-ray里面的东西都拉进去.

mod文件放到mod文件夹里才有用 你先找到.minecraft 双击点开
找到mod文件夹 将透视mod放入文件夹里 即可

使用快捷键：
F1 粘土地点
F2 幽冥墙地点
F3 苔藓地点
F4 蠹虫躲藏的块地点
F5 基佬世界大门地点
F6 黄金地点
F7 青金石地点
F8 钻石地点
F9 菌丝地点
F10 刷怪笼地点
警告：新人们可以用这货来探究下钻石的藏身地....老玩家建议不要多用...
有的人说的挖到钻石会减少惊喜感..还有就是联机服如果有禁止用的就别去用
对别的玩家不公平.单机的话。。。嘿嘿追问

……

本回答被提问者采纳