Xray使用指南(xray使用命令)

一、Xray的介绍

Xray是一款瑞士军刀式的安全评估工具，它中包括多个子模块，支持渗透测试中的多个场景和漏洞类型的扫描。其中包括了a爆破、bypass、扫描、代理、挖掘、分析、Poc验证等功能，可以自动化地完成渗透测试流程中的很多任务，极大地提高了渗透测试的效率。而 Xray 的最大特点也是其最强大之处，在于它常年维护的漏洞库，这也是 Xray 能做出快速高效扫描的最主要因素之一。另外，Xray也提供了命令行模式和 GUI 模式，非常方便用户快速上手

二、Xray的安装

1. 在xray官网 https://xray.cool/ 下载对应版本的安装包

2. 安装Golang，并设置Golang环境变量

sudo apt install golang
export GOPATH=~/go
export PATH=$PATH:$GOPATH/bin

3. 下载并安装最新版本的xray

go get -u -v github.com/chaitin/xray
cd $GOPATH/src/github.com/chaitin/xray
go install github.com/chaitin/xray

4. 运行xray

xray webscan --url="网站地址"

三、Xray的使用

1. 扫描单个 URL

我们可以使用如下的命令来进行单个URL的漏洞扫描

xray webscan --url="http://www.example.com/"

其中 –url 后面跟上我们需要扫描的URL地址。

2. 扫描目录

我们也可以使用 Xray 对目录进行扫描，只需要在命令行中输入可扫描目录的URL地址即可:

xray webscan --url="http://www.example.com/abc"

3. Xray使用代理

开启代理模式可以让 Xray 扫描网站时隐藏身份，使扫描更为安全

命令格式为：

xray webscan --url="http://www.example.com/" --proxy="http://127.0.0.1:1081"

其中 –proxy 后跟代理地址和端口号。

4. Xray使用插件

Xray支持自定义插件，实现一些默认版本中没有的功能，使用过程中需要指定插件的路径，例如：

xray webscan --url="http://www.example.com/" --plugins "path/to/your/plugin.so"

5. 漏洞库自定义更新

漏洞库的更新是Xray自动完成的操作，因此一般情况下不需要人工干预。不过，人工更新 Xray 的漏洞库也是可行的，步骤如下：

1. 下载最新的规则库，规则库链接：https://github.com/chaitin/xray-terrorsaurus

2. 复制 rules 目录到 $GOPATH/src/github.com/chaitin/xray 目录下

3. 进入 $GOPATH/src/github.com/chaitin/xray/rule 目录

4. 执行以下命令

../../../bin/rice embed-go
go build -o ../../xray main/main.go

6. 命令行方式使用Xray

Xray 最基本的使用方式是直接命令行调用，Xray 的命令行接口非常丰富，可以帮助我们快速完成渗透测试流程中的很多任务。以下是 Xray 三个最常用的子命令：

1. webscan 命令：漏洞扫描

xray webscan --url="http://www.example.com/"

2. dirscan 命令：目录扫描

xray dirscan --url="http://www.example.com/"

3. portscan 命令：端口扫描

xray portscan --url="http://www.example.com/"

四、Xray的GUI使用

在Xray 1.3.0 版本中，新增了GUI的功能，使得用户可以通过界面操作Xray，使用比起命令行模式更加方便，这里我们简单介绍一下如何使用：

1. 启动 Xray GUI 界面

在命令行输入以下命令启动Xray GUI界面：

xray gui

2. 添加目标

界面中选择 “Add target”，输入需要扫描的URL地址。在“Plugins”标签页中，可以选择是否启用Xray的自定义插件。

3. 进行扫描

在选择扫描模式后，可以通过 “Settings” 标签选择具体的扫描选项，最后点击“Scan”按钮开始扫描。

该界面中还包含了漏洞扫描的结果以及相关漏洞详情的展示。

五、总结与建议

Xray 是一款非常强大的安全工具，特别是其稳健性、准确性和强大的漏洞库让 Xray 在业界上的安全测试测得了极高的评价。通过本篇文章的介绍，相信读者对 Xray 有了更加全面和深入的了解，可以顺利地进行测试。在使用过程中需要注意一些安全性措施，尤其是访问目标网站时，不要过度依赖爆破和暴力破解等方式，避免引起不必要的麻烦。最后，还建议读者在使用中要多关注 Xray 的开源社区，以了解最新的使用技巧和工具更新。