burpsuite插件-调用主动Xray扫描报文

渗透Xiao白帽 · 公众号 · · 2021-01-07 21:40

正文

△△△点击上方“蓝字”关注我们了解更多精彩

0x00 Preface

最近忙于弱口令爆破，没有文章产出，望谅解。

因为弱口令总是爆破不成功,最近在研究登录爆破的那些事情。前两天尝试把所有可能的字符串进行排列组合，最后文件太大生成失败。暂时放弃，下一步思路是提取常见密码中的常见字串，再来一次组合。

0x01 xray4burp

xray4burp更新记录
0.3.0 基本完善功能0.3.1 增加命令输出0.4 尝试实现linux命令直接执行,多次尝试失败
重要事项:1、默认自动在tmp目录下创建config文件,需要自定义配置文件请手动指定2、只是一个调用接口，Xray牛皮。

0x02 插件原理

1、使用xray自带的--raw-request命令，直接扫描burp的原始报文。

2、基于sqlmap4burp简单改造，使用方法基本类似，感谢原作。

0x03 使用方法

1、右击报文调用插件。

2、配置扫描参数

suffix str :[命令前缀,置空即可] xray path  :[xray可执行文件的路径]xray option:[xray命令参数,默认是webscan --raw-request]
option常用选项：webscan --raw-request--config xray路径\config.yaml webscan --raw-request--config xray路径\config.yaml webscan --plugins sqldet --raw-request
最终执行命令的拼接为: suffix+xrayPath+Option

0x09 总结

公众号后台回复[酒零]获取项目地址,感谢大家的支持！！！

END

                            
                                请到「今天看啥」查看全文

推荐文章

警民直通车上海 · 用守护点亮万家灯火让年味更有安全味

昨天

防骗大数据 · 你收到过这种“京东礼品卡”快递吗？

2 天前

德州日报 · 妙瓦底等地，拟被断电

3 天前

上海法治报 · 假期预计收入2.45万！网友晒春节喂猫“排班表”：每天服务30家

3 天前

防骗大数据 · 什么？电信宽带安装也有骗局！

5 天前

CBA赛场 · 宫鲁鸣：外教救不了中国姚明有能力当篮协主席

8 年前

亿邦动力 · 亿邦App震撼上线！

7 年前

小鹿情感先生 · 这样的男生最容易反被妹子啪啪啪

7 年前

洞见 · 愿你尚未失去“犯傻”的力量

7 年前

新周刊 · 改革时代生活史 | 中国家电的演变，就是中国人的生活进化史

7 年前