dirbuster是kali自带的一款路径扫描工具,用来扫描网站的一些敏感文件。
在kali终端中输入dirbuster就会自动打开dirbuster用户界面
target URL:输入目标的URL地址
work method:第一种是只使用GET请求,第二种是自动切换HEAD 和GET请求,一般使用第二种
Number of threads:扫描线程,如果勾选go faster线程会调到200,一般不要调太高。
Select scanning type:选择扫描类型,第一种是字典,第二种是单纯的暴力破解,一般使用字典,dirbuster自带字典在/usr/share/dirbust/wordlists里面
也可以选择自己导入。
Select starting options:选择开始选项,第一种是标准模式爆破,第二种是url模糊爆破
如果选择标准模式爆破,在下面设置
brute force dirs枚举目录
brute force files 枚举文件
be recursive递归
use blank extension延申
dir to start with 开始爆破的路径,/代表从根目录扫描
file extenion文件类型,如php,asp,aspx等
如果选择url fuzz模式
要在这里面填上/{dir}
我用这个软件来扫描以下testfire.net这个网站
返回值200 的都是可以访问的,测试结束。