Web使用DirBuster寻找敏感文件和自录

欧阳111

已于 2023-11-29 10:27:09 修改

阅读量505

点赞数 5

文章标签： linux

于 2023-11-29 10:24:45 首次发布

本文链接：https://blog.csdn.net/jsgsys/article/details/134683561

版权

DirBuster是一款安全工具，通过暴力或者表单进行来发现Web服务器中现有文件和目录。我

们将在文中使用它来搜索特定的文件和目录列表。

准备

实战演练

DirBuster是一款使用Java语言写的应用程序，它可以从Kali的主菜单或在终端使用dirbuster

命令来使用。以下是使用它所需的步骤：

1.找到Applicationso3-WebApplicationAnalysisWebCrawlers&DirectoryBruteforcing

Dirbuster。（注：按照这个路径在Kali可能无法找到，但是你可以在终端下输入dirbuster命令打

开这个软件

2.在DirBuster窗口中，将目标URL设置为靶机http://192.168.56.11/

3.将线程数设置为20，以获得不错的测试速度。

4。选择基于列表的暴力破解，然后单击“浏览”。

5.在浏览窗口中，选择我们刚刚创建的文件（dir_dictionary.txt）

6.取消选中BeRecursive（递归）选项。

7。对于这个配置，我们将其余选项保留为默认值。

8.点击Start（开始）。

9.如果我们转到结果选项卡，我们将看到DirBuster在我们的字典中找到了至少两个文件夹：

cgi-bin和gtd-php。响应码200表示文件或目录存在并且可以被读取。Phpmyadmin是一个基于We

最低0.47元/天解锁文章

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

欧阳111

关注关注

5
点赞
踩
10

收藏

觉得还不错? 一键收藏
1
评论
复制链接

分享到 QQ

分享到新浪微博

扫一扫

使用DirBuster寻找敏感文件和目录

Jie2418的博客

05-30

319

Dirbuster是一种履带式和粗暴式的混合物，它遵循它找到的页面中的所有链接，但也为可能的文件尝试不同的名称。这些名称可能位于与使用的文件类似的文件中，也可能由Dirbuster使用Pure Brute Force选项自动生成，并设置字符集以及生成的单词的最小和最大长度。随后browse选择字典文件，可用自己的，也可用dirbuster自己的。电脑配置好的可根据情况选择，本次实验将线程数设置为20，大家可自行设置，看看不同设置后运行的效果！需要注意的是这个地址要加上协议，看网站是http还是https。

Web网站敏感目录/内容探测工具 – Cansina

wjy397的专栏

06-26

2138

github https://github.com/deibit/cansina 例子加参数说明 -u:为你的url地址 -p：是的自己的路径文件或者fuzzdb都行。自己定义。 cansina.py -u target_site_url -p payload_filename -b：禁止的响应代码如果404 400 500 cansina.py -u target_site_ur

1 条评论您还未登录，请先登录后发表或查看评论

【6】WEB渗透基础-敏感目录文件

司徒荆的博客

06-08

817

敏感目录文件

[WEB] 敏感目录泄露——Git泄露

Landasika的博客

11-28

875

在kali中使用zap查找敏感文件以及目录

最新发布

tangyin09的博客

11-24

1402

zap漏洞扫描

DirBuster——寻找敏感文件和目录

weixin_68246685的博客

05-30

520

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用，基本都需要安装JDK（JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment，但是JDK包含了JRE)，并且要配置环境变量。DirBuster是一个多线程的应用程序，设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。

最新敏感信息和目录收集技术

Ms08067安全实验室

07-06

610

web敏感信息泄漏（36）

yyj1781572的博客

03-31

1886

信息泄漏是指在正常情况下不能被普通用户访问的敏感信息没有被应用程序所保护，能够直接访问。就web来说这种类型的问题往往会带来巨大的危害，攻击者不仅可以轻松收集用户手机号，姓名等隐私信息，更可以借此攻入企业后台甚至是getshell。通过该实验了解常见的web敏感信息泄漏漏洞原理，掌握常见的web信息泄漏漏洞的利用和漏洞防护。

Web网站信息收集

weixin_56319791的博客

10-31

1698

网站信息收集

web渗透测试之信息收集

qq_43499389的博客

03-19

458

信息收集域名信息整站分析敏感目录谷歌hacker 端口扫描 URL采集旁站C段信息分析域名信息对应ip收集:相关域名对应ip。相关工具：nslookup 子域名收集：工具：layer、subDomainsBrute whois（注册人）信息查询根据已知域名反查，分析出此域名的注册人、邮箱、电话等。工具：爱站网、站长工具、微步在线敏感目录收集方向：robots.txt（可以...

目录扫描工具 dirbuster

single_g_l的博客

03-26

1833

描述：目录扫描工具DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描，也支持基于字典暴力扫描，还支持纯暴力扫描。该工具使用Java语言编写，提供命令行（Headless）和图形界面（GUI）两种模式。其中，图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则，还可以设置以URL模糊方式构建网页路径。同时，用户还对网页解析方式进行各种定制，提高网址解析效率。命令使用 -h #显示帮助信息 -H #以无头模式（无GUI）启动DirBuster，报告将在退出时自动.

DirBuster使用介绍

热门推荐

回忆式~过去.的博客

03-09

2万+

最近在做和华为合作的项目，由于华为对安全层面要求比较高，要求对敏感接口进行遍历，查看业务系统是否存在对外开放的敏感接口或者对接口进行权限控制，以及对目录列表进行测试确保所有的目录访问均不能打印文件列表，要求用DirBuster渗透工具，以此做个记录。工具介绍 DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具; 主要用来探测web目录结构和隐藏文件. 扫描Web目录，可以发现潜在的渗透目标。不同于网站爬虫，使用字典方式可以发现网站没有关联的网

目录扫描Dirbuster的用法详解

小丁长不胖

11-17

9291

WEB 渗透测试工具dirbuster的使用方法扫描Web目录，可以发现潜在的渗透目标。不同于网站爬虫，使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典，对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破，以发现更多的路径。同时，该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令，帮助用户从网页生成字典，或者生成定制字典。 DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务

Web网站敏感目录/内容探测工具 : Cansina

阿金正传

04-06

8273

转自 Linux 折腾笔记 Cansina是一款用于发现网站的敏感目录和内容的安全测试工具；特点：多线程HTTP/S 代理支持数据持久性 (sqlite3)多后缀支持 (-e php,asp,aspx,txt…)网页内容识别 (will watch for a specific string inside web page content)跳过假404错误可跳过被过滤

渗透测试信息收集：目录扫描

maverickpig的博客

02-15

1692

渗透测试信息收集目录扫描使用的工具 dirsearch 、wwwscan、御剑、dirbuster