Burp与Xray联动——多层代理流量测试

在平常的测试过程中，面对一个站点庞大的业务接口时，难免会忽略其中某些存在问题的接口，使用Burp与Xray联动可以将被动扫描和手工测试结合，达到一个很好的缺漏补差的效果，当然工具是为手工测试服务的，还是需要将侧重点放置到人工判断的角度，说白了与Xray联动就相当于找了个兜底的。这里使用 Burp 的原生功能与 xray 建立起一个多层代理，让流量从 Burp 转发到 xray 中。 （以下的测试环境都在本地windows10下进行） 首先 xray 建立起 webscan 的监听： 接着在Burp的Options->Upstream Proxy Servers中添加上游代理： 浏览器代理为设置Burp的监听代理端口，非上游代理（略） 可以看到经过Burp的流量也转发给了Xray。 下面是今天下午替甲方测试的结果： 某接口的post包内容如下： 正常的请求和响应： 过程略，构造payload：（这里是报错注） 返回结果如下：然后这时候再回头看看我们的xray工作的怎么样了： 存在一部分误报的情况，不过总体来说很满意了，里面也有刚才我们手工测试出来的那个注入的接口。 意外收获几个xss也是蛮香的： 被动扫描和主动测试的结合（同时）的确可以给我们带来不错的结果，但是我们的重心主要还是需要放在对业务接口的熟悉和测试的深度上，而不是侧重于工具给我们反馈的结果，对工具扫描的结果也需要进一步人工的确认，还有一个待解决的问题是，目前没办法控制xray的fuzz强度，导致我们手工测试的过程会出现被防火墙检测到异常流量并且直接将我们的ip给ban了，其实是有点冤的哈哈，想到的解决方法是根据后台云服务器信息给xray挂上相应的代理，但这并不适用于所有的站点。

1.网上搜索xray，下载文件

2.打开minecraft根目录也就是.minecraft里面会有一个versions。3.打开这个versions

里面会有一个1.x.x（如果你是1.7.2他就是1.7.2）打开它

然后里面会有个1.x.x.jar

右键

用好压打开

在此其中，您可以看到meta-inf文件，删除

最后一步，就是将您的xray中的文件全部拉进去

打开minecraft,点versions,打开1.7.2,用360压缩打开1.7.2.jar,

把meta-inf给删了,然后把x-ray里面的东西都拉进去.

mod文件放到mod文件夹里才有用

你先找到.minecraft

双击点开

找到mod文件夹

将透视mod放入文件夹里

即可

使用快捷键：

f1

粘土地点

f2

幽冥墙地点

f3

苔藓地点

f4

蠹虫躲藏的块地点

f5

基佬世界大门地点

f6

黄金地点

f7

青金石地点

f8

钻石地点

f9

菌丝地点

f10

刷怪笼地点

警告：新人们可以用这货来探究下钻石的藏身地....老玩家建议不要多用...

有的人说的挖到钻石会减少惊喜感..还有就是联机服如果有禁止用的就别去用

---