一款强大的安全评估工具Xray

0x01 Xray简介

xray 是一款功能强大的安全评估工具，由多名经验丰富的一线安全从业者呕心打造而成，主要特性有:

检测速度快。发包速度快; 漏洞检测算法高效。
支持范围广。大至 OWASP Top 10 通用漏洞检测，小至各种 CMS 框架 POC，均可以支持。
代码质量高。编写代码的人员素质高, 通过 Code Review、单元测试、集成测试等多层验证来提高代码可靠性。
高级可定制。通过配置文件暴露了引擎的各种参数，通过修改配置文件可以极大的客制化功能。
安全无威胁。xray 定位为一款安全辅助评估工具，而不是攻击工具，内置的所有 payload 和 poc 均为无害化检查。

目前支持的漏洞检测类型包括:

XSS漏洞检测 (key: xss)
SQL 注入检测 (key: sqldet)
命令/代码注入检测 (key: cmd-injection)
目录枚举 (key: dirscan)
路径穿越检测 (key: path-traversal)
XML 实体注入检测 (key: xxe)
文件上传检测 (key: upload)
弱口令检测 (key: brute-force)
jsonp 检测 (key: jsonp)
ssrf 检测 (key: ssrf)
基线检查 (key: baseline)
任意跳转检测 (key: redirect)
CRLF 注入 (key: crlf-injection)
Struts2 系列漏洞检测 (高级版，key: struts)
Thinkphp系列漏洞检测 (高级版，key: thinkphp)
POC 框架 (key: phantasm)
其中 POC 框架默认内置 Github 上贡献的 poc，用户也可以根据需要自行构建 poc 并运行。

0x02 扫描器原理

整体来看，扫描器这类工具大致都是由三部分组成：

• 来源处理
• 漏洞检测
• 结果输出

1. 来源处理
   这一部分的功能是整个漏洞检测的入口，在 xray 中我们定义了 5 个入口，分别是

   • HTTP 被动代理
   • 简易爬虫
   • 单个 URL
   • URL列表的文件
   • 单个原始 HTTP 请求文件

2. 漏洞检测
   这一部分是引擎的核心功能，用于处理前面 来源处理 部分产生的标准化的请求。用户可以针对性的启用插件，配置扫描插件的参数，配置 HTTP 相关参数等。

3. 结果输出
   漏洞扫描和运行时的状态统称为结果输出，xray 定义了如下几种输出方式:

   • Stdout (屏幕输出, 默认开启)
   • JSON 文件输出
   • HTML 报告输出
   • Webhook 输出

在使用 xray 的过程中只要谨记这三个部分，所有的命令行用法就看起来很简单了。 接下来就让我们上路吧。

0x03 下载安装

xray 为单文件二进制文件，无依赖，也无需安装，下载后直接使用。

1. 下载地址
   选择最新的版本下载,不要直接 clone 仓库，xray 并不开源，仓库内不含源代码，直接下载构建的二进制文件即可。

Github: https://github.com/chaitin/xray/releases （国外速度快）
网盘: https://yunpan.360.cn/surl_y3Gu6cugi8u （国内速度快）

此处仅举例windows环境下xray的安装，其他操作系统安装使用，参考如下连接：

https://docs.xray.cool/#/tutorial/prepare?id=下载地址

windows_amd64[Windows x64]/windows_386[Windows x86]

系统版本要求大于等于 Windows 7 或大于等于 Windows Server 2008 R2, 不支持 Windows XP、Windows 2003 等低版本系统。

对于 release 中的其他文件，说明如下:

sha256.txt 校验文件，内含个版本的 sha256 的哈希值，请下载后自行校验以防被劫持投毒。
Source Code Github 自动打包的，无意义，请忽略。

2. 运行
   下载对应系统的版本后，来查看下 xray 的版本号
   将下载文件解压，其中xray_windows_amd64.exe 为可执行文件（有的解压软件还会创建一个 xray_windows_amd64.exe 的文件夹，不要和最终的可执行文件混淆了）
   使用桌面左下方的的搜索框，输入 PowerShell，点击 Windows PowerShell，进入命令终端。
   然后 cd 到下载目录，运行 .\xray_windows_amd64.exe version 即可查看 xray 的版本号。
   

3. 生成ca证书
   在浏览器使用 https 协议通信的情况下，必须要得到客户端的信任，才能建立与客户端的通信。
   这里的突破口就是 ca 证书。只要自定义的 ca 证书得到了客户端的信任，xray 就能用该 ca 证书签发各种伪造的服务器证书，从而获取到通信内容。
   运行 .\xray_windows_amd64.exe genca
   
   运行命令之后，将在当前文件夹生成 ca.crt 和 ca.key 两个文件。
   本命令只需要第一次使用的时候运行即可，如果文件已经存在再次运行会报错，需要先删除本地的 ca.crt 和 ca.key 文件。
   

4. 安装ca证书
   如果使用的是 IE、Chrome、curl 等客户端，建议将 ca 证书安装在操作系统上，请参照下方的教程。
   
   选择本地计算机，并进行下一步
   
   选择证书存储
   
   选择受信任的证书颁发机构
   
   
   
   第一次安装会弹窗：你即将从一个声称代表如下内容的证书颁发机构（CA）安装证书，点击“是”即可，接着提示导入成功。
   

0x04 使用 xray 代理模式进行漏洞扫描

代理模式下的基本架构为，扫描器作为中间人，首先原样转发流量，并返回服务器响应给浏览器等客户端，通讯两端都认为自己直接与对方对话，同时记录该流量，然后修改参数并重新发送请求进行扫描。

1. 启用代理
   在扫描之前，我们还需要做一些必要的设置；第一次启动 xray 之后，当前目录会生成 config.yml 文件，选择文件编辑器打开，并按照下方说明修改。
   在mitm 中 restriction 中 hostname_allowed 增加 testphp.vulnweb.com

mitm:
  ...
  restriction:                          
    hostname_allowed:                   # 允许访问的 Hostname，支持格式如 t.com、*.t.com、1.1.1.1、1.1.1.1/24、1.1-4.1.1-8
    - testphp.vulnweb.com

因为我们的测试目标站就是 http://testphp.vulnweb.com，增加这个过滤之后，xray 将只会扫描该站的流量，避免扫描到非授权目标站点。
设定漏洞扫描结果的输出，这里选择使用 html 文件输出，所以命令行后面要增加 --html-output xray-testphp.html。
xray 配置文件中默认不允许扫描 gov 和 edu 等网站，如果想对这些网站进行授权测试，需要移除 hostname_disallowed 的相关配置才可以。严禁未授权的测试！否则后果自负。

2. 设置浏览器插件代理
   设置xray浏览器代理并开启此代理
   
   

3. 代理模式进行扫描
   在windows下PowerShell命令窗口中运行命令
   windows下Xray使用语法：
   .\xray_windows_amd64.exe webscan --listen 127.0.0.1:9999 --html-output xray-testphp.html
   
   代理模式为被动扫描，需人工干预进行测试，访问测试网址，然后就可以看到 xray 界面开始输出漏洞信息，下面是几个快速链接，可以点击用于体验更多的漏洞类型的扫描.

   • http://testphp.vulnweb.com/listproducts.php?cat=1
   • http://testphp.vulnweb.com/artists.php?artist=2
   • http://testphp.vulnweb.com/redir.php?r=http://www.w3.org

   

   查看xray扫描输出文件信息
   

如何退出？ctrl + c
提示 file xray-testphp.html already exists，可以删除已经存在的报告文件，或者使用一个新的文件名，或者在文件名中加入 timestamp 或 datetime 将自动替换为实际值。

0x05 使用 xray 基础爬虫模式进行漏洞扫描

./xray_windows_amd64 webscan --basic-crawler http://testphp.vulnweb.com/ --html-output xray-crawler-testphp.html

1. 登录后的网站扫描
   如果用的是代理模式，只要浏览器是登录状态，那么漏洞扫描收到的请求也都是登录状态的请求。但对于普通爬虫而言，就没有这么“自动化”了， 但是可以通过配置 Cookie 的方式实现登录后的扫描。

2. 非代理模式，配置Cookie实现登录后扫描
   打开config.yaml配置文件，修改 http 配置部分的 Headers 项，如下：

http:
  headers:
    Cookie: key=value

上述配置将为所有请求（包括爬虫和漏洞扫描）增加一条 Cookie key=value

0x06 使用 xray 进行服务扫描

xray 中最常见的是 web 扫描，但是 xray 将会逐渐开放服务扫描的相关能力，目前主要是服务扫描相关的 poc。老版本升级的用户请注意配置文件需要加入服务扫描的相关 poc 名字，目前只有一个 tomcat-cve-2020-1938 ajp 协议任意文件检测 poc。另外，由于免费版本限制，可以自写POC进行验证。

1. 快速检测单个目标
./xray servicescan --target 127.0.0.1:8009`

2. 批量检查的 1.file 中的目标, 一行一个目标，带端口
./xray servicescan --target-file 1.file 

其中 1.file 的格式为一个行一个 service，如

10.1.1.11:8080
127.0.0.1:9090

可以将结果输出到报告或json文件中

将检测结果输出到 html 报告中
./xray servicescan --target 127.0.0.1:8009 --html-output service.html
./xray servicescan --target-file 1.file --html-output service.html

将检测结果输出到 json 文件中
./xray servicescan --target 127.0.0.1:8099 --json-output 1.json 

0x07 版本间的区别

更多详细信息参考官网：https://docs.xray.cool/#/