使用DirBuster寻找敏感文件和目录
1. 概述
DirBuster, buster英[ˈbʌstə(r)] n. 破坏者;
程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。
DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。
更加通俗的说法是:DirBuster就是用于探测web目录结构和隐藏的敏感文件。
将在本节中使用它来搜索特定的文件和目录列表。 要使用一个文本文件,其中包含要用DirBuster来查找的文件列表。创建一个包含以下内容的文本文件dir_dictionary.txt
2. 实验前准备- 靶场-OWASP BWA
在VMware上打开OWASP_Broken_Web_App,打开后,如下图示
使用ZAP寻找敏感文件和目录
OWASP ZAP 是一个开源的安全测试工具,功能和Burpsuite一样,它们也同样是使用Java语言编写。
是一种非常通用的web安全测试工具。它具有代理、被动和主动漏洞扫描器、模糊器、爬行器、HTTP请求发送器和其他一些有趣的特性。在本节中,将使用最近添加的强制浏览,这是在ZAP中DirBuster的实现。
一、任务描述
为了使这个程序工作,需要使用ZAP作为Web浏览器的代理。
1. 在Kali Linux中启动OWASP ZAP。
2. 打开OWASP ZAP,将ZAP中的代理端口由8080改为8088。--修改代理服务器参数
在Kali Linux中用命令行打开Burp Suite
命令:Burp Suite
1. 实验1-开发安全
1.1 实验环境
1. 在安装了Burp Suite Pro的Windows 10系统中打开Firefox浏览器,通过Firefox浏览器登录靶机。
本实验证明:开发者采取判断content-type参数的方式来过滤危险文件,从而防止用户向服务器上传恶意文件的方法不可行。
Intercept(数据拦截模块)
Forword:表示将截断的HTTP或HTTPS请求发送到服务器。
Drop:表示将截断的HTTP或HTTPS请求丢弃。
Intercept is on 或off:表示开启或关闭代理截断功能。如果按钮显示Interceptionis On,表示请求和响应将被拦截或自动转发根据配置的拦截规则配置代理选项。如果按钮显示Interception is off则显示拦截之后的所有信息将自动转发。
Action:表示将截断的HTTP或HTTPS请求发送到其他模块或做其他处理。
Raw:这里显示的是纯文本形式的消息。在文本窗口的底部提供了一个搜索和加亮功能,可以用它来快速地定位出消息中的感兴趣的字符串,如错误消息。在搜索的左边有一个弹出项,让你来处理大小写问题,以及是使用简单的文本搜索还是正则表达搜索。
Hex:对包含参数(URL 查询字符串,cookies 消息头,或消息体)的请求,这个选项可以把参数分析成名称/值的组合,并且允许你能简单地查看和修改。
Pretty:这里显示 HTTP 的消息头(响应头),并且还以原始的形式显示消息体。
Open Browser:打开专属浏览器。
总结
在这个小节中,使用BurpSuite作为代理捕捉请求来改变Content-Type报头,从而绕过了客户端应用程序的验证机制。 Content-Type是客户机(尤其是POST和PUT请求中)设置的标准HTTP头文件,用于向服务器指示它接收的数据类型。很多时候,开发者通过判断content-type过滤危险文件。正如刚才看到的,在防止用户向服务器上传恶意文件方面,这种保护措施是远远不够的。
拦截和修改请求包是web应用渗透测试的一个非常重要的方面,它不仅可以绕过一些客户端验证(就像在本示例中所作的那样),还可以研究发送了哪些信息,并且尝试理解应用程序的内部工作方式。为了便于理解,还可能需要添加、删除或替换一些值。
学习心得
经过这一个学期对kali-linux的学习,我对kali-linux有了更深入、全面的认识。同时,kali-linux的发展也是非常迅速的,未来它会有更加广泛的应用前景。在未来的学习和实践中,我相信我可以更加深入地了解kali-linux,我们求学问道,读万卷书,行万里路,就是为了走出我们的偏见。
205
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
