专栏首页Web安全技术中国研发超实用Web端漏洞扫描器总结
原创

中国研发超实用Web端漏洞扫描器总结

简介:

xray 是一款功能强大的安全评估工具,由多名经验丰富的一线安全从业者呕心打造而成,主要特性有:

  • 检测速度快。发包速度快; 漏洞检测算法高效。
  • 支持范围广。大至 OWASP Top 10 通用漏洞检测,小至各种 CMS 框架 POC,均可以支持。
  • 代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
  • 高级可定制。通过配置文件暴露了引擎的各种参数,通过修改配置文件可以极大的客制化功能。
  • 安全无威胁。xray 定位为一款安全辅助评估工具,而不是攻击工具,内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:

  • XSS漏洞检测 (key: xss)
  • SQL 注入检测 (key: sqldet)
  • 命令/代码注入检测 (key: cmd_injection)
  • 目录枚举 (key: dirscan)
  • 路径穿越检测 (key: path_traversal)
  • XML 实体注入检测 (key: xxe)
  • 文件上传检测 (key: upload)
  • 弱口令检测 (key: brute_force)
  • jsonp 检测 (key: jsonp)
  • ssrf 检测 (key: ssrf)
  • 基线检查 (key: baseline)
  • 任意跳转检测 (key: redirect)
  • CRLF 注入 (key: crlf_injection)
  • Struts2 系列漏洞检测 (高级版,key: struts)
  • Thinkphp系列漏洞检测 (高级版,key: thinkphp)
  • POC 框架 (key: phantasm)

其中 POC 框架默认内置 Github 上贡献的 poc,用户也可以根据需要自行构建 poc 并运行。

设计理念

  1. 发最少的包做效果最好的探测。 如果一个请求可以确信漏洞存在,那就发一个请求。如果两种漏洞环境可以用同一个 payload 探测出来,那就 不要拆成两个。
  2. 允许一定程度上的误报来换取扫描速度的提升 漏洞检测工具无法面面俱到,在漏报和误报的选择上必然要选择误报。如果在使用中发现误报比较严重,可以进行反馈。
  • 尽量不用时间盲注等机制检测漏洞。 时间检测受影响因素太多且不可控,而且可能会影响其他插件的运行。因此除非必要(如 sql)请尽量使用与时间无关的 payload。
  • 尽量不使用盲打平台 如果一个漏洞能用回显检测就用回显检测,因为盲打平台增加了漏洞检测过程的不确定性和复杂性。
  • 耗时操作谨慎处理 全局使用 Context 做管理,不会因为某个请求而导致全局卡死。

简易架构

了解 xray 的整体架构可以更好的理解 cli 和配置文件的设置,方便大家更好的使用。

整体来看,扫描器这类工具大致都是由三部分组成:

  1. 来源处理
  2. 漏洞检测
  3. 结果输出

来源处理

这一部分的功能是整个漏洞检测的入口,在 xray 中我们定义了 5 个入口,分别是

  • HTTP 被动代理
  • 简易爬虫
  • 单个 URL
  • URL列表的文件
  • 单个原始 HTTP 请求文件

漏洞检测

这一部分是引擎的核心功能,用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件,配置扫描插件的参数,配置 HTTP 相关参数等。

结果输出

漏洞扫描和运行时的状态统称为结果输出,xray 定义了如下几种输出方式:

  • Stdout (屏幕输出, 默认开启)
  • JSON 文件输出
  • HTML 报告输出
  • Webhook 输出

在使用 xray 的过程中只要谨记这三个部分,所有的命令行用法就看起来很简单了。 接下来就让我们上路吧。

下载运行:

下载地址:

注意: 不要直接 clone 仓库,xray 并不开源,仓库内不含源代码,直接下载构建的二进制文件即可。

xray 跨平台支持,请下载时选择需要的版本下载。

Windows下xray安装:

  • windows_amd64 Windows x64
  • windows_386 Windows x86

系统版本要求大于等于 Windows 7 或大于等于 Windows Server 2008 R2, 不支持 Windows XP、Windows 2003 等低版本系统。

对于 release 中的其他文件,说明如下:

  • sha256.txt 校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。
  • Source Code Github 自动打包的,无意义,请忽略。

Mac下xray安装:

  • darwin_amd64 MacOS

支持的系统版本为大于等于 10.10

对于 release 中的其他文件,说明如下:

  • sha256.txt 校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。
  • Source Code Github 自动打包的,无意义,请忽略。

Linux下xray安装

  • linux_amd64 Linux x64
  • linux_386 Linux x86

要求内核版本大于等于 2.6.23。不支持 CentOS 5, 因为内核太旧了 (2.6.18)。

对于 release 中的其他文件,说明如下:

  • sha256.txt 校验文件,内含个版本的 sha256 的哈希值,请下载后自行校验以防被劫持投毒。
  • Source Code Github 自动打包的,无意义,请忽略。

Windows下xray运行:

以下载到 C:\Users\$User\Downloads 为例,右键解压,就可以得到 xray_windows_amd64.exe 文件了(有的解压软件还会创建一个 xray_windows_amd64.exe 的文件夹,不要和最终的可执行文件混淆了)。

使用桌面左下方的的搜索框,输入 PowerShell,点击 Windows PowerShell,进入命令终端。

然后 cd 到下载目录,运行 .\xray_windows_amd64.exe version 即可查看 xray 的版本号。

Mac下xray运行:

以下载到 ~/Downloads 为例,双击解压,就可以得到 xray_darwin_amd64 文件了。

打开使用的终端工具,比如 Terminal 或者 iTerm

然后 cd 到下载目录,运行 ./xray_darwin_amd64 version 即可查看 xray 的版本号。

Linux下xray运行:

以下载到 ~/xray 为例,使用 unzip 命令解压,就可以得到 xray_linux_amd64 文件了。

然后运行 ./xray_linux_amd64 version 即可查看 xray 的版本号。

代理模式进行被动扫描:

使用 xray 代理模式进行漏洞扫描

代理模式下的基本架构为,扫描器作为中间人,首先原样转发流量,并返回服务器响应给浏览器等客户端,通讯两端都认为自己直接与对方对话,同时记录该流量,然后修改参数并重新发送请求进行扫描。

生成 ca 证书

在浏览器使用 https 协议通信的情况下,必须要得到客户端的信任,才能建立与客户端的通信。

这里的突破口就是 ca 证书。只要自定义的 ca 证书得到了客户端的信任,xray 就能用该 ca 证书签发各种伪造的服务器证书,从而获取到通信内容。

Windows:

运行 .\xray_windows_amd64.exe genca

运行命令之后,将在当前文件夹生成 ca.crtca.key 两个文件。

本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crtca.key 文件。

Macos:

运行 ./xray_darwin_amd64 genca 即可生成 ca 证书,保存为 ca.crtca.key 两个文件。

运行命令之后,将在当前文件夹生成 ca.crtca.key 两个文件。

本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crtca.key 文件。

Linux:

运行 ./xray_darwin_amd64 genca 即可生成 ca 证书,保存为 ca.crtca.key 两个文件。

运行命令之后,将在当前文件夹生成 ca.crtca.key 两个文件。

本命令只需要第一次使用的时候运行即可,如果文件已经存在再次运行会报错,需要先删除本地的 ca.crtca.key 文件。

安装ca证书:

如果使用的是 FireFox 浏览器,请参照这里,它有自己的证书体系。

如果使用的是 IE、Chrome、curl 等客户端,建议将 ca 证书安装在操作系统上,请参照下方的教程

详情见下文链接

https://xray.cool/xray/#/tutorial/webscan_proxy

启动代理:

在扫描之前,我们还需要做一些必要的设置

第一次启动 xray 之后,当前目录会生成 config.yml 文件,选择文件编辑器打开,并按照下方说明修改。

  • mitmrestrictionincludes* 改为 testphp.vulnweb.com
mitm:
  ...
  restriction:
    includes:
    - "testphp.vulnweb.com"

因为我们的测试目标站就是 http://testphp.vulnweb.com,增加这个过滤之后,xray 将只会扫描该站的流量,避免扫描到非授权目标站点。

对于配置文件中的更多解读,请参考文档中的 配置 章节。

  • 设定漏洞扫描结果的输出,这里选择使用 html 文件输出,所以命令行后面要增加 --html-output xray-testphp.html

Windows启用扫描:

.\xray_windows_amd64.exe webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

Macos启用扫描:

./xray_darwin_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

Linux启用扫描:

./xray_linux_amd64 webscan --listen 127.0.0.1:7777 --html-output xray-testphp.html

常见问题

  • 如何退出?ctrl + c
  • 提示 file xray-testphp.html already exists,可以删除已经存在的报告文件,或者使用一个新的文件名,或者在文件名中加入 __timestamp____datetime__ 将自动替换为实际值。

配置代理:

详情见下文链接:

https://xray.cool/xray/#/tutorial/webscan_proxy

开始扫描

使用浏览器访问 http://testphp.vulnweb.com/

然后就可以看到 xray 界面开始输出漏洞信息,下面是几个快速链接,可以点击用于体验更多的漏洞类型的扫描

使用爬虫主动扫描:

爬虫模式是模拟人工去点击网页的链接,然后去分析扫描,和代理模式不同的是,爬虫不需要人工的介入,访问速度要快很多,但是也有一些缺点需要注意

  • xray 的基础爬虫不能处理 js 渲染的页面,如果需要此功能,请参考 版本对比
  • 需要首先人工配置登录 cookie,必需的 http 头等,如果登录失败,也不容易发现问题

启用爬虫:

Windows:

./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

Linux:

./xray_linux_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

Macos:

./xray_darwin_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

使用 xray 进行服务扫描

xray 中最常见的是 web 扫描,但是 xray 将会逐渐开放服务扫描的相关能力,目前主要是服务扫描相关的 poc。老版本升级的用户请注意配置文件需要加入服务扫描的相关 poc 名字,目前只有一个 tomcat-cve-2020-1938 ajp 协议任意文件检测 poc。

参数配置目前比较简单,输入支持两种方式,例如:

快速检测单个目标
./xray servicescan --target 127.0.0.1:8009

批量检查的 1.file 中的目标, 一行一个目标,带端口
./xray servicescan --target-file 1.file 

将检测结果输出到 json 文件中
./xray servicescan --target 127.0.0.1:8099 --json-output 1.json 
NAME:
    servicescan - Run a service scan task

USAGE:
    servicescan [command options] [arguments...]

OPTIONS:
   --target value       specify the target, for example: host:8009
   --target-file value  load targets from a local file, one target a line
   --json-output FILE   output xray results to FILE in json format

今天的文章到这吧,喜欢就点个赞加关注呗

原创声明,本文系作者授权云+社区发表,未经许可,不得转载。

如有侵权,请联系 yunjia_community@tencent.com 删除。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 绕过cdn获取网站真实IP

    现在很多朋友建网站都挂cdn代理IP,第一是本身服务器延迟太高速度慢想提升一下速度,第二是自身服务器防御低,怕被攻击死,第三是既想提升速度也想增加网站的稳定安全...

    酷酷的繁星
  • 记一次SQL注入的漏洞复现

    至于我为什么没有继续下去,大家可以去读一下白帽子行为规范,漏洞复现只需要证明存在该漏洞就行了

    酷酷的繁星
  • kali更新源

    1.打开命令行输入ping www.baidu.com,停止方法请按CTRL+C 键停止监测,如果虚拟机给出了这个网站的延迟信息和IP就代表网络是正常的,如果没...

    酷酷的繁星
  • 镁客网每周硬科技领域投融资汇总(2.12—2.18)

    镁客网
  • Linux学习笔记之Linux文件系统详解

    机械磁盘由磁头(head)、磁道(track)、柱面(cylinder)、扇区(sector)和盘片(platter)组成。其中,磁头悬浮在盘片上,并且每张盘片...

    Jetpropelledsnake21
  • 漫谈文件系统

    翻译成中文大致意思:文件系统主要是管理数据存储以及数据如何检索的,而数据存储在磁盘或内存中。上期我们聊过了漫谈虚拟内存,本期我们就重点介绍磁盘中的机械磁盘的组成...

    木可大大
  • 解决DNS污染与劫持之使用特殊DNS端口

    os:ubuntu 12.04 LTS 软件:dnsmasq dns测试: dig www.facebook.com @8.8.8.8 +short 37....

    小小科
  • redis 企业级数据备份及恢复方案

    我们通常使用RDB文件作为冷备文件,关于AOF和RDB两种备份方式的说明可以参考详解 redis-4.x 持久化机制,备份思路如下:

    CoderJed
  • 想学FM系列(9)-SAP FM模块:主数据(7)-主数据权限、报表

    3.1.6 账户分配要素主数据权限检查 在FM模块当中部份主数据的权限检查,SAP支持不是很好,比如对基金计划程序的权限支持不是很好。针对集团式管控的企业,对F...

    SAP最佳业务实践
  • 那个重新定义了“苹果”的男人

    8月2日美股开盘后,苹果公司股价盘中一度创下207.05美元历史新高,市值成功突破万亿美元,成为全球首个单市场突破万亿美元的公司。这是苹果的里程碑,也是全球商业...

    人称T客

扫码关注云+社区

领取腾讯云代金券