Web使用DirBuster寻找敏感文件和自录

已于 2023-11-29 10:27:09 修改
阅读量105 收藏
点赞数 1
文章标签: linux
于 2023-11-29 10:24:45 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jsgsys/article/details/134683561
版权

DirBuster是一款安全工具,通过暴力或者表单进行来发现Web服务器中现有文件和目录。我

们将在文中使用它来搜索特定的文件和目录列表。

准备

实战演练

DirBuster是一款使用Java语言写的应用程序,它可以从Kali的主菜单或在终端使用dirbuster

命令来使用。以下是使用它所需的步骤:

1.找到Applicationso3-WebApplicationAnalysisWebCrawlers&DirectoryBruteforcing

Dirbuster。(注:按照这个路径在Kali可能无法找到,但是你可以在终端下输入dirbuster命令打

开这个软件

2.在DirBuster窗口中,将目标URL设置为靶机http://192.168.56.11/

3.将线程数设置为20,以获得不错的测试速度。

4。选择基于列表的暴力破解,然后单击“浏览”。

5.在浏览窗口中,选择我们刚刚创建的文件(dir_dictionary.txt)

6.取消选中BeRecursive(递归)选项。

7。对于这个配置,我们将其余选项保留为默认值。

8.点击Start(开始)。

9.如果我们转到结果选项卡,我们将看到DirBuster在我们的字典中找到了至少两个文件夹:

cgi-bin和gtd-php。响应码200表示文件或目录存在并且可以被读取。Phpmyadmin是一个基于Web

的mysql数据库,查找一个带有tis名称的目录告诉我们服务器中有一个数据库管理系统

(DBMS),它可能包含有关应用程序及其用户的相关信息。

10.搜索结果生成一份报告(Report),并将报告文件提交。

原理剖析

Dirbuster是一种履带式和粗暴式的混合物,它遵循它找到的页面中的所有链接,但也为可能的

文件尝试不同的名称。这些名称可能位于与我们使用的文件类似的文件中,也可能由Dirbuster使用

PureBruteForce选项自动生成,并设置字符集以及生成的单词的最小和最大长度。

确定文件是否存在,DirBuster使用服务器的响应代码。最常见的响应如下所示:

?200成功:文件存在。

404未找到:服务器中不存在该文件。

·301大

永久移动:请求的网页已永久移动到新位置,这是重定向到给定的URL。

302

临时移动:服务器目前从不同位置的网页响应请求。

303查看其他位置:请求者应当对不同的位置使用单独的GET请求来检索响应时,服务器返回

此代码。

401未授权:访问此文件需要身份验证,对于需要登录的网页,服务器可能返回此响应。

403

禁止:请求有效但服务器拒绝响应。

500

服务器内部错误:服务器遇到错误,无法完成请求。

拓展

dirb是KaliLinux中包含的cmmand-line工具,它还使用学典文件强制浏览服务器以识别现有

文件和目录。要查看其语法和选项,请打开终端并输入dirb命令。

欧阳111
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
使用DirBuster寻找敏感文件和目录
weixin_71416901的博客
05-28 313
多数操作系统(包括DOS及Windows)中dir命令基本上会列出目录中的文件及子目录的名称,也可以列出其文件大小,创建时间等相关信息,并且列出所在的磁盘、可用空间等信息。(使用字典扫描) 勾选它 选择Browse选择字典文件,用自己的文件,pure brute force(纯暴力破解)。是directory的缩写(是目录的意思) 在DOS操作系统中DIR 用来查看磁盘中文件的命令,dir有很多的参数。这一列中的内容是数字,代表相应代码,不同的代码表示不同的含义。在浏览窗口中,选择刚刚创建的文件
文件和目录扫描工具DirBuster
02-21
DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。
ASP.NET(C#) Web Api通过文件流下载文件的实例
10-22
主要介绍了ASP.NET(C#) Web Api通过文件流下载文件的方法,提供源码下载,需要的朋友可以参考下。
PenCrawLer:高级Web爬网程序和DirBuster
05-13
爬虫 Advanced Web Crawler和DirBuster PeNCrawLer是一种高级WebCrawler和Dirbuster,旨在用于基于Windows Os的渗透测试。 要了解有关功能的更多信息,请阅读Wiki:
web渗透】文件包含漏洞入门级超详细讲解
qinshuoyang1的博客
07-28 4674
在程序员开发过程中,通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,无需在此编写,这种调用文件的过程一般被称为文件包含。有限制本地文件包含漏洞是指代码中为包含文件制定了特定的前缀或者.php、.html等扩展名,攻击者需要绕过前缀或者扩展名过滤,才能利用文件包含漏洞读取操作系统中的其他文件,获取敏感信息。常见的有限制本地文件包含过滤绕过的方式主要有%00截断文件包含、路径长度截断文件包含、点号截断文件包含这三种Session就是保存在服务器的文本文件。............
web敏感信息泄漏(36)
yyj1781572的博客
03-31 1792
信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护,能够直接访问。就web来说这种类型的问题往往会带来巨大的危害,攻击者不仅可以轻松收集用户手机号,姓名等隐私信息,更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理,掌握常见的web信息泄漏漏洞的利用和漏洞防护。
Web网站信息收集
weixin_56319791的博客
10-31 1341
网站信息收集
关于web.xml配置文件记录.docx
11-29
web.xml 文件的顶层(根)元素是 web-app,所有的 XML 元素都是大小写敏感的,因此 web-App 和 WEB-APP 都是不合法的,web-app 必须用小写。同时,XML 元素的次序也很重要,例如,XML 头必须是文件中的第一项,...
DirBuster.rar
01-29
DirBuster.rar
【4】WEB渗透基础-收集敏感信息(web后台)
司徒荆的博客
04-30 1020
收集敏感信息(web后台)
web安全学习笔记之文件包含读取敏感信息
weixin_52096670的博客
12-18 104
存储windows系统初次安装密码。Apache2默认配置文件。Apache2默认配置文件。mysql root密码。系统信息,常用于注入木马。apache配置信息。
预防信息收集-敏感文件/路径泄露
xmrc_的博客
12-17 101
敏感文件泄露危害绝不小于任何其他漏洞。
web渗透测试之信息收集
qq_43499389的博客
03-19 416
信息收集 域名信息 整站分析 敏感目录 谷歌hacker 端口扫描 URL采集 旁站C段 信息分析 域名信息 对应ip收集:相关域名对应ip。相关工具:nslookup 子域名收集:工具:layer、subDomainsBrute whois(注册人)信息查询 根据已知域名反查,分析出此域名的注册人、邮箱、电话等。 工具:爱站网、站长工具、微步在线 敏感目录 收集方向:robots.txt(可以...
目录扫描工具 dirbuster
single_g_l的博客
03-26 1773
描述: 目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。该工具使用Java语言编写,提供命令行(Headless)和图形界面(GUI)两种模式。其中,图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则,还可以设置以URL模糊方式构建网页路径。同时,用户还对网页解析方式进行各种定制,提高网址解析效率。 命令使用 -h #显示帮助信息 -H #以无头模式(无GUI)启动DirBuster,报告将在退出时自动.
Linux fallocate工具用于预分配或释放文件空间的块
最新发布
不积跬步,无以至千里;不积小流,无以成江海。
06-09 292
命令,您需要在具有适当权限的环境中运行它,例如通过SSH登录到Linux服务器或在Linux终端中运行。请确保指定的路径存在且可写。文件中未使用的磁盘空间。请注意,这不会改变文件的大小,只是释放了未使用的磁盘空间。之前,建议了解文件系统和存储设备的特性,以避免潜在的性能问题。是一个Linux命令行工具,用于预分配或释放文件空间的块。文件的大小截断为5MB。大于5MB的部分将被删除。文件的10MB偏移量处开始预分配5MB的磁盘空间。文件的10MB偏移量处开始的5MB磁盘空间。文件预分配10MB的磁盘空间。
web.comfit文件中链接字符串的定义和使用方式
06-11
Web.config文件是ASP.NET Web应用程序的配置文件,其中可以定义各种配置信息,包括连接字符串。连接字符串是用于连接数据库或其他数据源的字符串,它包括数据源的地址、数据库名称、用户名、密码等信息。 以下是Web.config文件中连接字符串的定义和使用方式: 1. 定义连接字符串 在Web.config文件中,可以通过connectionStrings元素定义连接字符串。例如: ``` <connectionStrings> <add name="MyConnString" connectionString="Data Source=myServerAddress;Initial Catalog=myDataBase;User Id=myUsername;Password=myPassword;" providerName="System.Data.SqlClient"/> </connectionStrings> ``` 其中,name属性表示连接字符串的名称,connectionString属性表示连接字符串的内容,providerName属性表示数据提供程序的名称。 2. 使用连接字符串 在ASP.NET Web应用程序中,可以通过ConfigurationManager类的ConnectionStrings属性获取连接字符串。例如: ``` string connString = ConfigurationManager.ConnectionStrings["MyConnString"].ConnectionString; ``` 通过上述代码,可以获取Web.config文件中名为"MyConnString"的连接字符串,并将其赋值给connString变量。 连接字符串的定义和使用方式可以使ASP.NET Web应用程序与数据源相连接,实现数据的读写操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值