Skip to content

Releases: chaitin/xray

XRAY 0.14.8

25 Oct 11:28
@zema1 zema1
0.14.8
6fb578d
Compare
Choose a tag to compare
XRAY 0.14.8

Features:

  • 增加 CVE-2019-11043 PHP-fpm 远程代码执行漏洞 的检测 POC(老用户注意:POC 名称为 poc-go-php-cve-2019-11043-rce,需要加入配置文件或者删除配置文件重新生成)

BugFixes:

  • 修复基础爬虫缺失部分 url 的问题
  • 修复反连平台界面复制数据缺失的问题
Loading

XRAY 0.14.3

24 Oct 07:33
@zema1 zema1
0.14.3
7611f6a
Compare
Choose a tag to compare
XRAY 0.14.3

Features:

  • 使用语义分析方法重构 jsonp 敏感信息泄露检测模块

BugFixes:

  • 修复 sql 注入检测模块的一些误报
  • 修复身份证号泄露检测的一些误报
  • 修复 xss 模块输出点在 style 时的一种漏报
  • 修复 brute_force 模块对默认密码检测的一些误报
  • 修复 url-file 时遇到错误不继续处理的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.14.0

16 Oct 08:40
@zema1 zema1
0.14.0
fef56cc
Compare
Choose a tag to compare
XRAY 0.14.0

Features:

  • 任意跳转增加一种无协议的 payload
  • 增加 --url-file 参数,可以指定 url 列表的文件来进行批量扫描
  • POC 框架添加深度限制,默认只在 URL 深度为 0, 和深度为 1 时运行
    • 定义 http://example.com/,深度为 0
    • 定义 http://example.com/a/, 深度为 1
  • 高级版新增 s2-046 的漏洞检测

BugFixes:

  • 修复 HTML 报告在大量漏洞时非常卡的问题(改为延迟加载)
  • 修复反连平台健康检查的 token 验证问题
  • 当指定了 --poc 参数时,不再加载配置文件中的 poc
  • 修正一个 POC 错误导致大量 Warning 的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.13.0

10 Oct 09:26
@zema1 zema1
0.13.0
2340bb0
Compare
Choose a tag to compare
XRAY 0.13.0

Feature:

  • poc 增加全局变量、url 信息、随机数函数、哈希函数,详情参见 https://chaitin.github.io/xray/#/guide/poc
  • poc 中正则匹配到的数据使用变量名替代而不是下标形式
  • 修改部分已有的 poc 中硬编码的数据为随机值

Bugfixes:

  • 优化反连平台 fetch event 的性能
  • 修复部分参数类型猜测的错误
  • 修复 mitm 代理无法解码 brotli 的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.12.1

26 Sep 10:38
@zema1 zema1
0.12.1
b8bfa56
Compare
Choose a tag to compare
XRAY 0.12.1

Bugfixes:

  • 修复自定义 Accept-Encoding 不生效的问题 (影响 phpstudy backdoor poc)

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.12.0

25 Sep 06:44
@zema1 zema1
0.12.0
25ae7fe
Compare
Choose a tag to compare
XRAY 0.12.0

Features:

  • 新增交互式 Shell 运行方式,直接启动 xray 不使用任何参数即可启动
  • HTTP 被动代理支持配置可信的来源 IP 范围
  • 部分模块增加自动化的编码猜测,比如 base64、hash 等
  • sql 注入模块增加 django lookup key 注入的检测(CVE-2019-14234
  • 完善对服务器报错信息的识别逻辑

Bugfixes:

  • 修复反连平台前端的一些问题
  • 修复一处因 HTML 解析异常导致的 xss 漏报
  • 修复重定向检测模块对 url 的处理问题
  • 修复了一个可能的数据竞争问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.11.3

18 Sep 08:14
@zema1 zema1
0.11.3
c216fca
Compare
Choose a tag to compare
XRAY 0.11.3

Features:

  • 反连平台增加预制的 payload 模板,后续将支持自定义
  • 完善任意重定向检查模块

Bugfixes:

  • 修复报告中 unicode 乱码的问题
  • 修复报告中时间不对的问题
  • 修复了 poc 中表达式运行的部分问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.11.0

11 Sep 06:26
@zema1 zema1
0.11.0
96e8903
This commit was created on github.com and signed with GitHub’s verified signature. The key has expired.
GPG key ID: 4AEE18F83AFDEB23
Expired
Verified
Learn about vigilant mode.
Compare
Choose a tag to compare
XRAY 0.11.0

Features:

  • 被动扫描支持 websocket 的透明代理,使用代理时不再影响 websocket 通信
  • 使用被动代理扫描时访问 http://xray/ 可以下载 ca 根证书,方便在手机上安装证书
  • 代理访问失败时,页面上将显示失败原因,而不是显示空白页面
  • 基线检查插件中增加 response 检查功能,支持错误页检查、页面敏感信息泄露检查、反序列化数据传递检查。上述功能默认不开启,请按需使用
  • 命令注入增加基于反连平台的检测
  • 提升 xss 在部分输出点的检测性能

Bugfixes:

  • 修复反连平台的一些问题
  • 修复 sql 注入检测模块的部分漏报
  • 命令注入增加验证过程,防止误报
  • 修复任意跳转导致的 ssrf 误报
Loading

XRAY 0.10.6

04 Sep 07:50
@zema1 zema1
0.10.6
d111aee
Compare
Choose a tag to compare
XRAY 0.10.6

在使用之前,请务必阅读并同意 https://github.com/chaitin/xray/blob/master/LICENSE.md 中的条款,否则请勿安装使用本工具。

Features:

  • 反连平台支持 DNS Rebinding 的设置了 (访问 http://reverse-ip/cland/)
  • 反连平台支持静态解析规则
  • 漏洞探测尝试全局支持 http2
  • 将漏洞结果中的非 utf8 字节转义,避免传输过程中造成问题

Bugfixes:

  • 修复配置文件中重名 POC,修复部分 POC 的中潜在的问题
  • 修复了部分不支持颜色的 cmd.exe 上仍然输出了颜色字符的问题
  • 修复配置文件中配置的 http 头会覆盖扫描过程中新设置的 http 头的问题 #400

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading

XRAY 0.10.1

29 Aug 08:06
@zema1 zema1
0.10.1
241e404
Compare
Choose a tag to compare
XRAY 0.10.1

在使用之前,请务必阅读并同意 https://github.com/chaitin/xray/blob/master/LICENSE.md 中的条款,否则请勿安装使用本工具。

Bugfixes:

  • 修复漏洞报告中 body 为空的问题
  • 修复 dirscan 的误报
  • 修复 bruteforce 中的误报
  • 修复反连平台的部分 bug,优化选择 status code 的体验

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Loading