一键启动+AWVS+Sqlmap+BurpSutie+Xray多级代理联合挖洞

点击"仙网攻城狮”关注我们哦~

不当想研发的渗透人不是好运维

让我们每天进步一点点

简介

最近在研究将多个工具联合在一起进行漏洞挖掘，提高挖洞效率，如AWVS+Sqlmap+BurpSutie+Xray进行联合，这样在使用web漏洞扫描的同时其他的几种工具也可以同步进行自动化漏洞挖掘。

实战

工具自行下载安装哈，可以直接找最新版本的：

AWVS：web漏洞扫描工具

Sqlmap：sql注入漏洞挖掘工具

BurpSutie:web代理工具

xray：自动化渗透工具

网上一大堆破解教程可以直接百度安装哈

多级代理配置

1.最上层一级代理使用xary（注意要生成证书并安装，否则抓取https会出错或者抓不到）

2.二级代理使用BurpSutie

（上级代理配置xary的777端口）

（配置BurpSutie二级代理端口）

（配置记录请求，这个是给sqlmap用的，注意log文件的保存路径）

（大部分会默认开启拦截，需要关闭拦截）

3.三级代理使用AWVS

(添加扫描任务时配置代理，上级是burpsutie)

4.AWVS扫描结束后，扫描结束后，扫描结束后，重要的事情说三遍

（配置sqlamp扫描）

python sqlmap.py -l D:\log\log1.txt --batch

（结果就在安装目录下的output目录下）

5.BurpSutie+Xray一键启动，目录换成自己的安装目录

@echo off
start cmd /c "cd /d D:\BurpSuitePro&&javaw -Dfile.encoding=utf-8 -javaagent:BurpSuiteCn.jar -javaagent:BurpLoaderKeygen.jar -noverify -jar burpsuite_pro.jar&&exit"
start cmd /k "cd /d D:\BurpSuitePro&&xray.exe webscan --listen 127.0.0.1:777"

（另存为成bat文件，注意使用ANSI编码格式防止有中文目录无法启动的情况）

（修改一下图标）

6.配置完成后使用流程，AWVS扫描完成后---执行sqlmap扫描---查看AWVS是否有漏洞---查看burpsutie是否有漏洞---查看xray是否有漏洞---查看sqlmap是否有漏洞，这一套下来可以极快的完成前期准备工作。

PS：做金融类src时慎用，懂的都懂。

往期内容

平台让人打穿了（Shiro反序列化）

新时代IT农民工资料中转站

工具篇-BurpSutie Pro 2021.10.1最新版本

更多资讯长按二维码 关注我们

   专业的信息安全团队，给你最安全的保障。定期推送黑客知识和网络安全知识文章，让各位了解黑客的世界，学习黑客知识，普及安全知识，提高安全意识。

觉得不错点个“赞”呗