中国研发超实用Web端漏洞扫描器总结

简介：

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:

• 检测速度快。发包速度快; 漏洞检测算法高效。
• 支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
• 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
• 高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。
• 安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:

• XSS漏洞检测 (key: xss)
• SQL 注入检测 (key: sqldet)
• 命令/代码注入检测 (key: cmd_injection)
• 目录枚举 (key: dirscan)
• 路径穿越检测 (key: path_traversal)
• XML 实体注入检测 (key: xxe)
• 文件上传检测 (key: upload)
• 弱口令检测 (key: brute_force)
• jsonp 检测 (key: jsonp)
• ssrf 检测 (key: ssrf)
• 基线检查 (key: baseline)
• 任意跳转检测 (key: redirect)
• CRLF 注入 (key: crlf_injection)
• Struts2 系列漏洞检测 (高级版，key: struts)
• Thinkphp系列漏洞检测 (高级版，key: thinkphp)
• POC 框架 (key: phantasm)

其中 POC 框架默认内置 Github 上贡献的 poc，用户也可以根据需要自行构建 poc 并运行。

设计理念

1. 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在，那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来，那就 不要拆成两个。
2. 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到，在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重，可以进行反馈。

• 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控，而且可能会影响其他插件的运行。因此除非必要（如 sql）请尽量使用与时间无关的 payload。
• 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测，因为盲打平台增加了漏洞检测过程的不确定性和复杂性。
• 耗时操作谨慎处理 全局使用 Context 做管理，不会因为某个请求而导致全局卡死。

简易架构

了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置，方便大家更好的使用。

整体来看，扫描器这类工具大致都是由三部分组成：

1. 来源处理
2. 漏洞检测
3. 结果输出

来源处理

这一部分的功能是整个漏洞检测的入口，在 xray 中我们定义了 5 个入口，分别是

• HTTP 被动代理
• 简易爬虫
• 单个 URL
• URL列表的文件
• 单个原始 HTTP 请求文件

漏洞检测

这一部分是引擎的核心功能，用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件，配置扫描插件的参数，配置 HTTP 相关参数等。

结果输出

漏洞扫描和运行时的状态统称为结果输出，xray 定义了如下几种输出方式:

• Stdout (屏幕输出, 默认开启)
• JSON 文件输出
• HTML 报告输出
• Webhook 输出

在使用 xray 的过程中只要谨记这三个部分，所有的命令行用法就看起来很简单了。 接下来就让我们上路吧。

下载运行：

下载地址：

• Github: https://github.com/chaitin/xray/releases （国外速度快）
• 网盘: https://yunpan.360.cn/surl_y3Gu6cugi8u （国内速度快）

注意： 不要直接 clone 仓库，xray 并不开源，仓库内不含源代码，直接下载构建的二进制文件即可。

xray 跨平台支持，请下载时选择需要的版本下载。

Windows下xray安装：

• windows_amd64 Windows x64
• windows_386 Windows x86

系统版本要求大于等于 Windows 7 或大于等于 Windows Server 2008 R2, 不支持 Windows XP、Windows 2003 等低版本系统。

对于 release 中的其他文件，说明如下:

• sha256.txt 校验文件，内含个版本的 sha256 的哈希值，请下载后自行校验以防被劫持投毒。
• Source Code Github 自动打包的，无意义，请忽略。

Mac下xray安装：

• darwin_amd64 MacOS

支持的系统版本为大于等于 10.10

对于 release 中的其他文件，说明如下:

• sha256.txt 校验文件，内含个版本的 sha256 的哈希值，请下载后自行校验以防被劫持投毒。
• Source Code Github 自动打包的，无意义，请忽略。

Linux下xray安装

• linux_amd64 Linux x64
• linux_386 Linux x86

要求内核版本大于等于 2.6.23。不支持 CentOS 5, 因为内核太旧了 （2.6.18)。

对于 release 中的其他文件，说明如下:

• sha256.txt 校验文件，内含个版本的 sha256 的哈希值，请下载后自行校验以防被劫持投毒。
• Source Code Github 自动打包的，无意义，请忽略。

Windows下xray运行：

以下载到 C:\Users\$User\Downloads 为例，右键解压，就可以得到 xray_windows_amd64.exe 文件了（有的解压软件还会创建一个 xray_windows_amd64.exe 的文件夹，不要和最终的可执行文件混淆了）。

使用桌面左下方的的搜索框，输入 PowerShell，点击 Windows PowerShell，进入命令终端。

然后 cd 到下载目录，运行 .\xray_windows_amd64.exe version 即可查看 xray 的版本号。

Mac下xray运行：

以下载到 ~/Downloads 为例，双击解压，就可以得到 xray_darwin_amd64 文件了。

打开使用的终端工具，比如 Terminal 或者 iTerm

然后 cd 到下载目录，运行 ./xray_darwin_amd64 version 即可查看 xray 的版本号。

Linux下xray运行：

以下载到 ~/xray 为例，使用 unzip 命令解压，就可以得到 xray_linux_amd64 文件了。

然后运行 ./xray_linux_amd64 version 即可查看 xray 的版本号。

代理模式进行被动扫描：

使用 xray 代理模式进行漏洞扫描

代理模式下的基本架构为，扫描器作为中间人，首先原样转发流量，并返回服务器响应给浏览器等客户端，通讯两端都认为自己直接与对方对话，同时记录该流量，然后修改参数并重新发送请求进行扫描。

生成 ca 证书

在浏览器使用 https 协议通信的情况下，必须要得到客户端的信任，才能建立与客户端的通信。

这里的突破口就是 ca 证书。只要自定义的 ca 证书得到了客户端的信任，xray 就能用该 ca 证书签发各种伪造的服务器证书，从而获取到通信内容。

Windows：

运行 .\xray_windows_amd64.exe genca

运行命令之后，将在当前文件夹生成 ca.crt 和 ca.key 两个文件。

本命令只需要第一次使用的时候运行即可，如果文件已经存在再次运行会报错，需要先删除本地的 ca.crt 和 ca.key 文件。

Macos：

运行 ./xray_darwin_amd64 genca 即可生成 ca 证书，保存为 ca.crt 和 ca.key 两个文件。

运行命令之后，将在当前文件夹生成 ca.crt 和 ca.key 两个文件。

本命令只需要第一次使用的时候运行即可，如果文件已经存在再次运行会报错，需要先删除本地的 ca.crt 和 ca.key 文件。

Linux：

运行 ./xray_darwin_amd64 genca 即可生成 ca 证书，保存为 ca.crt 和 ca.key 两个文件。

运行命令之后，将在当前文件夹生成 ca.crt 和 ca.key 两个文件。

本命令只需要第一次使用的时候运行即可，如果文件已经存在再次运行会报错，需要先删除本地的 ca.crt 和 ca.key 文件。

安装ca证书：

如果使用的是 FireFox 浏览器，请参照这里，它有自己的证书体系。

如果使用的是 IE、Chrome、curl 等客户端，建议将 ca 证书安装在操作系统上，请参照下方的教程

详情见下文链接

https://xray.cool/xray/#/tutorial/webscan_proxy

启动代理：

在扫描之前，我们还需要做一些必要的设置

第一次启动 xray 之后，当前目录会生成 config.yml 文件，选择文件编辑器打开，并按照下方说明修改。

• mitm 中 restriction 中 includes 由 * 改为 testphp.vulnweb.com

mitm:
  ...
  restriction:
    includes:
    - "testphp.vulnweb.com"

因为我们的测试目标站就是 http://testphp.vulnweb.com，增加这个过滤之后，xray 将只会扫描该站的流量，避免扫描到非授权目标站点。

对于配置文件中的更多解读，请参考文档中的 配置 章节。

• 设定漏洞扫描结果的输出，这里选择使用 html 文件输出，所以命令行后面要增加 --html-output xray-testphp.html。

Windows启用扫描：

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

Macos启用扫描：

./xray_darwin_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

Linux启用扫描：

./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

常见问题

• 如何退出？ctrl + c
• 提示 file xray-testphp.html already exists，可以删除已经存在的报告文件，或者使用一个新的文件名，或者在文件名中加入 __timestamp__ 或 __datetime__ 将自动替换为实际值。

配置代理：

详情见下文链接：

https://xray.cool/xray/#/tutorial/webscan_proxy

开始扫描

使用浏览器访问 http://testphp.vulnweb.com/

然后就可以看到 xray 界面开始输出漏洞信息，下面是几个快速链接，可以点击用于体验更多的漏洞类型的扫描

• http://testphp.vulnweb.com/listproducts.php?cat=1
• http://testphp.vulnweb.com/artists.php?artist=2
• http://testphp.vulnweb.com/redir.php?r=http://www.w3.org

使用爬虫主动扫描：

爬虫模式是模拟人工去点击网页的链接，然后去分析扫描，和代理模式不同的是，爬虫不需要人工的介入，访问速度要快很多，但是也有一些缺点需要注意

• xray 的基础爬虫不能处理 js 渲染的页面，如果需要此功能，请参考 版本对比
• 需要首先人工配置登录 cookie，必需的 http 头等，如果登录失败，也不容易发现问题

启用爬虫：

Windows：

./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

Linux：

./xray_linux_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

Macos：

./xray_darwin_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

使用 xray 进行服务扫描

xray 中最常见的是 web 扫描，但是 xray 将会逐渐开放服务扫描的相关能力，目前主要是服务扫描相关的 poc。老版本升级的用户请注意配置文件需要加入服务扫描的相关 poc 名字，目前只有一个 tomcat-cve-2020-1938 ajp 协议任意文件检测 poc。

参数配置目前比较简单，输入支持两种方式，例如:

快速检测单个目标
./xray servicescan --target 127.0.0.1:8009

批量检查的 1.file 中的目标, 一行一个目标，带端口
./xray servicescan --target-file 1.file 

将检测结果输出到 json 文件中
./xray servicescan --target 127.0.0.1:8099 --json-output 1.json 

NAME:
    servicescan - Run a service scan task

USAGE:
    servicescan [command options] [arguments...]

OPTIONS:
   --target value       specify the target, for example: host:8009
   --target-file value  load targets from a local file, one target a line
   --json-output FILE   output xray results to FILE in json format

今天的文章到这吧，喜欢就点个赞加关注呗