Skip to content

Releases: chaitin/xray

XRAY 0.16.5

11 Dec 07:38
@zema1 zema1
0.16.5
98ebde2
Compare
Choose a tag to compare
XRAY 0.16.5

Features:

  • 增加 ARM 架构 CPU 的下载链接
  • 优化 sql 时间盲注检测
  • 强化 poc 格式检查
  • 其他用户交互优化

Bugfixes:

  • 修复 webhook num_found_urls 不生效问题
  • 修复 poc urlencode 函数问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 9

XRAY 0.16.3

05 Dec 09:55
@zema1 zema1
0.16.3
a7cbff1
Compare
Choose a tag to compare
XRAY 0.16.3

Features:

  • 增加 poclint 命令,可以一键检查自定义 poc 格式问题,用法如
    • ./xray poclint --poc "1.yaml"
    • ./xray poclint --poc "/home/xray/pocs/*"
  • poc 新增 urlencodeurldecode 函数
  • webhook-output 增加状态统计信息(详情见文档)
  • 优化 sql 注入正则匹配性能
  • 强化请求过滤器对 body 的处理

Bugfixes:

  • 修复 thinkphp 注入检测部分误报问题(高级版)
Assets 8

XRAY 0.16.0

21 Nov 10:13
@zema1 zema1
0.16.0
321e336
This commit was created on GitHub.com and signed with GitHub’s verified signature. The key has expired.
GPG key ID: 4AEE18F83AFDEB23
Expired
Learn about vigilant mode.
Compare
Choose a tag to compare
XRAY 0.16.0

Features:

  • poc 增加 base64, base64Decode 函数,增加 reverse.is_domain_name_server 变量
  • 优化 xss 检测模块,支持更多情况的绕过
  • 支持 xss 源在 cookie 中的检测(需手动修改插件配置 include_cookie开启)

Bugfixes:

  • 修复 http2 站点偶发性崩溃问题
  • 移除了部分容易导致误报的 sql 注入 payload
  • 修复部分情况下,请求的延迟是一个巨大的数字的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 8

XRAY 0.15.3

07 Nov 10:02
@zema1 zema1
0.15.3
4e22319
Compare
Choose a tag to compare
XRAY 0.15.3

Features:

  • yaml poc 语法大幅修改,新增4种变量类型,详情参照文档
  • sqldet 支持注入点在排序位置的检测

Bugfixes:

  • 修复爬虫经常性超时问题

Other:

  • 因 windows 下 console 兼容性问题,在 windows 下不再支持使用 consoleui 和 promptui
Assets 8

XRAY 0.15.0

01 Nov 02:59
@zema1 zema1
0.15.0
777e659
Compare
Choose a tag to compare
XRAY 0.15.0

Features:

  • 支持配置插件并发数(max_parallel,默认性能相比之前提高10倍
  • 高级版添加子域名扫描命令,支持字典爆破,API 获取,域传送三种方式收集子域名。如何获取高级版
  • 添加致远OA htmlofficeservlet 远程代码执行 POC poc-go-seeyon-htmlofficeservlet-rce
  • 添加泛微OA DB 信息泄露 POC poc-go-ecology-db-config-info-leak
  • 命令行参数--json-output--html-otput 增加变量__timestamp____datetime__,自动替换为时间戳或日期时间,避免输出到同一文件时报错。如
    • --html-output report__datetime__.html 将使用 report2019_11_01-10_03_26.html 作为报告文件名

Bugfixes:

  • 修复高级版 thinkphp 插件的一处漏报
  • 修复反连平台处理 ipv6 的一些问题
  • 修复过滤器竞争问题导致的同一漏洞多次输出问题
Assets 8

XRAY 0.14.8

25 Oct 11:28
@zema1 zema1
0.14.8
6fb578d
Compare
Choose a tag to compare
XRAY 0.14.8

Features:

  • 增加 CVE-2019-11043 PHP-fpm 远程代码执行漏洞 的检测 POC(老用户注意:POC 名称为 poc-go-php-cve-2019-11043-rce,需要加入配置文件或者删除配置文件重新生成)

BugFixes:

  • 修复基础爬虫缺失部分 url 的问题
  • 修复反连平台界面复制数据缺失的问题
Assets 8

XRAY 0.14.3

24 Oct 07:33
@zema1 zema1
0.14.3
7611f6a
Compare
Choose a tag to compare
XRAY 0.14.3

Features:

  • 使用语义分析方法重构 jsonp 敏感信息泄露检测模块

BugFixes:

  • 修复 sql 注入检测模块的一些误报
  • 修复身份证号泄露检测的一些误报
  • 修复 xss 模块输出点在 style 时的一种漏报
  • 修复 brute_force 模块对默认密码检测的一些误报
  • 修复 url-file 时遇到错误不继续处理的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 8

XRAY 0.14.0

16 Oct 08:40
@zema1 zema1
0.14.0
fef56cc
Compare
Choose a tag to compare
XRAY 0.14.0

Features:

  • 任意跳转增加一种无协议的 payload
  • 增加 --url-file 参数,可以指定 url 列表的文件来进行批量扫描
  • POC 框架添加深度限制,默认只在 URL 深度为 0, 和深度为 1 时运行
    • 定义 http://example.com/,深度为 0
    • 定义 http://example.com/a/, 深度为 1
  • 高级版新增 s2-046 的漏洞检测

BugFixes:

  • 修复 HTML 报告在大量漏洞时非常卡的问题(改为延迟加载)
  • 修复反连平台健康检查的 token 验证问题
  • 当指定了 --poc 参数时,不再加载配置文件中的 poc
  • 修正一个 POC 错误导致大量 Warning 的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 8

XRAY 0.13.0

10 Oct 09:26
@zema1 zema1
0.13.0
2340bb0
Compare
Choose a tag to compare
XRAY 0.13.0

Feature:

  • poc 增加全局变量、url 信息、随机数函数、哈希函数,详情参见 https://chaitin.github.io/xray/#/guide/poc
  • poc 中正则匹配到的数据使用变量名替代而不是下标形式
  • 修改部分已有的 poc 中硬编码的数据为随机值

Bugfixes:

  • 优化反连平台 fetch event 的性能
  • 修复部分参数类型猜测的错误
  • 修复 mitm 代理无法解码 brotli 的问题

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 8

XRAY 0.12.1

26 Sep 10:38
@zema1 zema1
0.12.1
b8bfa56
Compare
Choose a tag to compare
XRAY 0.12.1

Bugfixes:

  • 修复自定义 Accept-Encoding 不生效的问题 (影响 phpstudy backdoor poc)

网盘下载链接: https://yunpan.360.cn/surl_y3Gu6cugi8u

Assets 8