search

4ra1n / super-xray

Web漏洞扫描工具XRAY的GUI启动器
https://github.com/chaitin/xray
Apache License 2.0
1.26k stars 144 forks source link

[important] [bug] 当reverse配置为空但确认配置后无法正常启动 #71

Closed 4ra1n closed 1 year ago

4ra1n commented 2 years ago

因为只设置了true

zyd6 commented 2 years ago

是的,反连平台好像没有效果,连不上服务端

zyd6 commented 2 years ago

207] Post "http://192.168.221.205:1234/_/api/fetch": context deadline exceeded (Client.Timeout exceeded while awaiting headers) [WARN] 2022-11-30 15:49:32 [default:client.go:239] request to http://192.168.221.205:1234/_/api/fetch failed, retrying (1 / 3)... [WARN] 2022-11-30 15:49:52 [default:client.go:239] request to http://192.168.221.205:1234/_/api/fetch failed, retrying (2 / 3)... [WARN] 2022-11-30 15:50:12 [default:client.go:239] request to http://192.168.221.205:1234/_/api/fetch failed, retrying (3 / 3)...

zyd6 commented 2 years ago

@4ra1n

4ra1n commented 2 years ago

@zyd6 你好。你这里的命令行输出,你可以手动浏览器里访问下你的反连平台,通过http://192.168.221.205:1234/_/api/fetch或者http://192.168.221.205:1234/cland等。如果你发现无法访问的话,说明可能你输入了错误的ip,检查一下你本地的ip。当你确认反连平台的/cland是能访问通的,说明你ip正确了,这时候再启用客户端,应该就没有问题了。

zyd6 commented 2 years ago

@4ra1n 您好,http://192.168.221.205:1234/cland这个地址是可以打开的,服务端是正常的

企业微信截图_16697960771805

我的客户端配置如下:

企业微信截图_16697961197447
zyd6 commented 2 years ago

但是访问不了http://192.168.221.205:1234/_/api/fetch

企业微信截图_16697962001962
4ra1n commented 2 years ago

@zyd6 好的,你可以检查这几项问题:

  1. 是否token一致,如果两个token不完全一致会有这样的问题
  2. 注意是先启动反连平台,再启动xray的被动扫描

你可以参考下我的视频:https://www.bilibili.com/video/BV1p8411j7vX

如果和我视频操作都一样,发现还是有问题,可以继续说明。 感谢!

4ra1n commented 2 years ago

@zyd6 反连具体步骤是这样的:

  1. 首先你需要配置一个反连服务端,点击配置服务端,输入一个db名称例如test.db,密码token,不要改0.0.0.0的ip,输入一个端口。点击导出一个配置文件到reverse/config.yaml
  2. 在这个reverse目录启动一个xray程序,命令是xray.exe reverse,注意如果失败先xray.exe不加参数启动一次
  3. 然后设置反连平台token和http url这两个,确定token一致且url浏览器可以访问通,注意要点击确认配置按钮
  4. 最后设置好插件和poc等,启动扫描即可(参考视频中)
zyd6 commented 2 years ago

你好,我配置的和您一样: 1、服务端和客户端的token是一致的:6个6 下图时服务端的:

企业微信截图_16697975888733

2、反连平台是开着的,顺序也是对的。只是check success,如下图: image

zyd6 commented 2 years ago

@4ra1n 能帮忙看下么

4ra1n commented 2 years ago

image

image

服务端yaml部分:

reverse:
  db_file_path: test.db
  token: xxxxx
  http: {enabled: true, listen_ip: 0.0.0.0, listen_port: '12333', ip_header: ''}

我这边自行配置了下,发现是没有问题的,可以参考图片,我本地ip是10.10.4.144,反连端口是12344,和你一样选择只启用xxe模块且开启被动扫描。

super-xray应该是没问题的,可能是你网络环境问题

4ra1n commented 2 years ago

@zyd6 参考我上一条评论,我这边重复了已有的操作,确认了没问题。应该是你网络存在一些问题,尽力帮你解决了。

zyd6 commented 2 years ago

你好,您这边看起来是没有问题的,我的也和您一样。但是你的反连平台并没有收到super-客户端的请求记录。

企业微信截图_166979909229

只有这么一段话remote reverse server check passed。但是您那边的反连平台有receive到请求吗

zyd6 commented 2 years ago

@4ra1n

4ra1n commented 2 years ago

@zyd6 我知道了,你这里不应该写ip是192开头,而是0.0.0.0

4ra1n commented 2 years ago

@zyd6 反连服务端的ip试试改成0.0.0.0

zyd6 commented 2 years ago
企业微信截图_16697995102175

@4ra1n 本来就是0.0.0.0

zyd6 commented 2 years ago

你那边可以试试反连平台能够跟踪到super-xray的请求记录么。如果可以,那就是我的问题

zyd6 commented 2 years ago

能加个微信么15952430631

4ra1n commented 1 year ago

0.9