XRay:一款网络公开资源信息收集工具

标签: 专栏 XRay 自动化 | 发表时间:2017-07-12 10:43 | 作者:Alpha_h4ck
出处:http://www.freebuf.com

今天给大家介绍的是一款名叫XRay的网络公开资源收集工具,它的主要目的是为了帮助研究人员自动化实现信息收集和网络映射等任务活动。

aaa.png

工具下载

XRay项目地址

工作机制

XRay是一款非常简单的工具,它的工作机制如下:

1.      它可以使用字典和DNS请求爆破出目标域名的所有子域名;

2.      对于每一个搜索出来的子域名/IP,XRay都会使用Shodan来扫描其开放端口和其他信息;

3.      对于每一个IP地址和开放端口,XRay都会单独启动一个信息采集器;

4.      最终所有收集到的数据都会显示在用户的Web端页面中;

信息采集器

-HTTP Server, X-Powered-By以及Location headers

-HTTP和HTTPS robots.txt的禁用条目

-HTTPS证书链

-HTML title标签

-DNS的version.bind.以及hostname.bind. 记录

-MySQL, SMTP, FTP, SSH, POP和IRC banners.

注意

Shodan API密钥

shodan.ioAPI密钥参数(-shodan-key KEY)是一个可选项,如果不指定这个参数的话,用户最终得到的将只有DNS子域名的枚举结果。

创建一个Docker镜像

你可以使用下列命令构建一个最新版本XRay的Docker镜像:

  git clone github.com/evilsocket/xray
cd xray
docker build -t xraydocker .   

构建完成之后,我们就可以通过下列命令在一个Docker容器中使用XRay了:

  docker run --rm -it -p 8080:8080 xraydockerxray -address 0.0.0.0 -shodan-key shodan_key_here -domain example.com

手动安装

确保你所使用的Go语言版本大于或等于v1.7,正确安装之后设置好$GOPATH变量,然后将$GOPATH/bin添加到你的环境变量$PATH中。

接下来,使用下列命令安装XRay:

  go get github.com/evilsocket/xray
cd $GOPATH/src/github.com/evilsocket/xray/
make get_glide
make install_dependencies
make build   

如果你遇到了与“go-bindata代码丢失”相关的问题,你可以尝试执行下列命令并重新make build:

  go get -ugithub.com/jteeuwen/go-bindata/...

运行之后,build目录下将会出现一个可执行文件。

工具的使用

  Usage: xray -shodan-key YOUR_SHODAN_API_KEY-domain TARGET_DOMAIN
Options:
 -address string
       IP address to bind the web ui server to. (default "127.0.0.1")
 -consumers int
       Number of concurrent consumers to use for subdomain enumeration.(default 16)
 -domain string
       Base domain to start enumeration from.
 -port int
       TCP port to bind the web ui server to. (default 8080)
 -session string
        Session file name. (default"<domain-name>-xray-session.json")
 -shodan-key string
       Shodan API key.
 -wordlist string
       Wordlist file to use for enumeration. (default"wordlists/default.lst")   

演示样例:

  # xray -shodan-key yadayadayadapicaboo...-domain fbi.gov
____ ___
\  \/  /
 \    RAY v 1.0.0b
 /    bySimone 'evilsocket' Margaritelli
/___/\ \
     \_/
@ Saving session tofbi.gov-xray-session.json
@ Web UI running on http://127.0.0.1:8080/   

许可证协议

XRay的作者为 Simone Margaritelli,该项目遵循GPL 3许可证协议。

其中wordlists目录下的文件是我从多个开源工具项目中收集来的,具体哪一个文件来自于哪里我已经记不清了,如果你想要在这个项目中提到你的话,请在XRay的Github主页上pull request。

* 参考来源: evilsocket, FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

相关 [xray 网络 资源] 推荐:

XRay:一款网络公开资源信息收集工具

- - FreeBuf.COM | 关注黑客与极客
今天给大家介绍的是一款名叫XRay的网络公开资源收集工具,它的主要目的是为了帮助研究人员自动化实现信息收集和网络映射等任务活动. XRay是一款非常简单的工具,它的工作机制如下:. 1.      它可以使用字典和DNS请求爆破出目标域名的所有子域名;. 2.      对于每一个搜索出来的子域名/IP,XRay都会使用Shodan来扫描其开放端口和其他信息;.

Hadoop书籍和网络资源介绍

- - 董的博客
Dong | 新浪微博: 西成懂 | 可以转载, 但必须以超链接形式标明文章原始出处和作者信息及 版权声明. 网址: http://dongxicheng.org/mapreduce/hadoop-books/. 本文介绍Hadoop Core(MapReduce和HDFS)相关的书籍和网络资源.

简单使用URLConnection、HttpURLConnection和HttpClient访问网络资源

- - CSDN博客移动开发推荐文章
URL的openConnection方法将返回一个URLConnection,该对象表示应用程序和URL之间的通信连接. 程序可以通过它的实例向该URL发送请求,读取URL引用的资源. 下面通过一个简单示例来演示:. // 直接使用URLConnection对象进行连接. // 得到URLConnection对象.

[译]网络渗透测试及其,工具及资源

- - 互联网 - ITeye博客
原文地址:http://pen-testing.sans.org/blog/pen-testing/2013/11/21/network-pen-testing-tips-tricks-tools-resources. 侦查--大多数会跳过或缺少的步骤. 如果做得好,可以不使用任何exploit就可以获得访问权限.

[来自异次元] 超凡搜索 (BeyondSearcher) – 又一款给力的电驴网络ed2k资源搜索下载小工具

- 午夜瞎想 - 异次元软件世界
        现在在网上搜索电影、音乐等资源的下载越来越难了,之前我们推荐过一款相当实用的电驴网络搜索小工具 P2PSearcher,它可以搜索到大量的电驴网络(ED2K)中的资源,可以比较方便地下载一些难找的咚咚.         今天给大家介绍的 BeyondSearcher (超凡搜索) 也是类似的免费小巧的搜索工具,你一样可以通过它搜索出各种资源的电驴ED2K下载地址,然后用 电驴客户端 或者 迅雷 等工具进行下载,非常方便.

[来自异次元] P2PSearcher – 简单小巧的电驴网络ed2k资源搜索下载工具 [给力小软件]

- hi - 异次元软件世界
        现在找东西下载是越来越难了,特别是一些不怎么河蟹的资源,反正你懂的. P2Pseracher 是一款非常实用的免费小工具,利用 P2PSearcher,可以搜索到大量的电驴网络(ED2K)中的资源. 然后可以用电驴客户端或者迅雷等下载工具进行下载,非常方便.         P2PSearcher 完全免费,界面极为简约 (可以说是简陋了),体积非常小,启动速度极快,并且搜索的资源没经过任何过滤,譬如说你可以在这里找到某种动作片.

网络

- 火锅土豆 - 科学松鼠会
本文地址(转载请注明出处): 复制.

Google+资源手册

- 向往自由的风 - FeedzShare
发布时间:2011年08月02日,  已有 2 人推荐. Google在社交网络上的大动作已经足以引起Twitter和Facebook的危机感. 它以迅雷不及掩耳之势在短短16天内就俘获了1000万用户,而Twitter当时达到这个用户数用了780天,Facebook则长达852天. 不过和大部分新兴的在线服务一样,人们可能在注册了一个账户之后就几乎不管它了.

iOS开发资源

- - Starming星光社最新更新
iOS App UI 欣赏、分享精美的App界面设计. iOS代码实例搜索、iOS特效示例、iOS代码例子下载. 以web的形式提供iOS UI设计的素材,你可以在web上拖动一些控件做出简单的ios 应用效果,并且生成一个URL,能分享给其他人. 一款 Photoshop 插件,由 UI Parade 推出的一款针对iOS UI 的设计工具,设计师动动鼠标即可制作精美的 iOS 应用原型.