xray图形化工具-Super Xray,支持自定义导入poc库
xray图形化工具-Super Xray,支持自定义导入poc库
原创 track 泷羽Sec-track 2025-01-25 09:24
声明!本文章所有的工具分享仅仅只是供大家学习交流为主,切勿用于非法用途,如有任何触犯法律的行为,均与本人及团队无关!!!
公众号回台回复25125
即可获取
2024Goby红队版工具-附2024年poc合集,支持导入自定义poc库
Super Xray
一款Web漏洞扫描工具XRAY的GUI启动器
,xray是一款优秀的漏洞扫描工具,但目前只有命令行版本,通过 config.yaml
配置文件启动,很多情况下不好上手,需要一款 GUI
工具来帮助新人更快使用。
项目源地址:
https://github.com/4ra1n/super-xray
环境准备及注意事项
共有如下三种插件,使用方法也都说明了
– 本地有 JRE/JDK 8+环境
-
使用 java -jar SuperXray.jar
启动(可以双击
插件使用) -
需要事先下载xray
xray配置教程:2024web漏洞扫描辅助神器xray安装和使用
新版本内置了一键下载
功能,点击这两处即可
image-20250125165841240
注意事项
-
请使用 1080P 及以上分辨率,在 720P 及以下分辨率可能无法完全显示
-
请使用最新版xray(目前是1.9.4版本,本工具未兼容老版本xray)
-
支持两种方式的exe文件,system版使用系统的JRE,另一种内置了JRE 8
核心特性
-
图形化界面,使用方便
-
内置多种poc,可自行导入
-
支持中英双语
-
内置多种插件,可自主选择
界面预览
初始界面
在线生成poc
点击此处即可跳转
image-20250125170450755
然后在下面的界面自定义poc
生成即可
image-20250125170424664
指定多个PoC
搜索后复制到输入框,注意换行分割
指定多个poc
与rad联动
在0.8版本以后可以与rad联动:
注意:先输入端口开启被动扫描,再打开rad
配合
rad
子域名扫描
在1.0版本以后支持子域名扫描,但是高级版才可以使用
反连平台
-
配置好客户端的反连平台后点击配置服务端
-
任意输入数据库文件名
-
任意输入token密码
-
不要改ip并输入一个监听端口
-
点击导出配置文件得到一个reverse/config.yaml
-
把xray
和这个文件复制一份到服务端 -
服务端./xray reverse启动反连平台
-
在反连平台输入对应到token
和http url
即可(ip格式:http://127.0.0.1:80) -
开启主动扫描或被动扫描即可
image-20250125170048737
服务扫描
支持Tomcat AJP
和一些Weblogic IIOP
漏洞扫描
image-20250125170059728
问题反馈及版本信息
在界面左上角即可查看
版本信息
image-20250125170251787