gobuster与wfuzz

最新推荐文章于 2023-12-20 15:25:22 发布
最新推荐文章于 2023-12-20 15:25:22 发布
阅读量245 收藏
点赞数
分类专栏: 信息搜集 文章标签: apache 服务器 linux web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_45771689/article/details/127739271
版权

hackthebox shocker

nmap过后发现开了80端口,并且是apache服务器。于是准备使用gobuster扫扫目录,使用/usr/share/SecLists/Discovery/Web-Content/apache.txt 扫。

在这里插入图片描述
/server-status目录无法访问,子域名也扫不出来,于是就没思路了。看了看题解,发现有个/cgi-bin目录需要扫出来,但是/usr/share/SecLists/Discovery/Web-Content/apache.txt 里面包含了/cgi-bin目录。

使用wfuzz扫描

wfuzz -w /usr/share/SecLists/Discovery/Web-Content/apache.txt --hc 404 -u http://example/FUZZ/

扫出来了,无语
在这里插入图片描述

总结

还是wfuzz香

LoveAsukaFoever
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
利用gobuster对感兴趣的网站进行域名进行探测
dyx0910的博客
05-09 1994
信息搜集工具 DNS信息搜集 gobuster工具使用 工具介绍:主要面向DNS和web目录进行批量探测 工具介绍:主要面向DNS和web目录进行批量探测 安装:apt-get install gobuster 探测模式:dns、dir、vhost、s3、fuzz dns:用于对目标域名、子域名进行探测-v dir:对web目录进行探测、需要字典 vhost:对于虚拟目录进行探测-x s3:对于存储同链接进行探测-x fuzz:模糊...
渗透测试 10 --- 扫描 web目录 (dirb、wfuzz、wpscan、nikto)
墨鱼菜鸡
07-17 3370
github 更多工具:https://github.com/topics/dirb github 上 fuzz 工具、字典:https://github.com/search?q=fuzz 当使用一个工具扫描完成后,如果没发现漏洞,可以使用其他 web 扫描工具再扫描下,因为每个工具可能侧重点不一样,扫描出来的漏洞就不一样。 关键字 ...
Linux下通过server-status监控性能
weixin_38171245的博客
01-03 92
Linux下通过server-status监控性能 前提:安装好Apache,在opt/路径下 查看Apache的工作模式 可以知道是 prefork.c模式 配置server-status 性能 进入到httpd.conf路径 vi /etc/httpd/conf/httpd.conf 然后添加 <Location /se...
Wfuzz:一款强大的Web Fuzz测试工具 | 安装报错解决
Sp4rkW的博客
08-15 4261
Wfuzz是一个基于Python的Web爆破程序,它支持多种方法来测试WEB应用的漏洞。你可以审计参数、登录认证、GET/POST方式爆破的表单,并且可以发掘未公开的资源,比如目录、文件和头部之类的。 Wfuzz是一款为了评估WEB应用而生的FuzzFuzz是爆破的一种手段)工具,它基于一个简单的理念,即用给定的Payload去fuzz。它允许在HTTP请求里注入任何输入的值,针对不同的WEB...
子域名/目录暴力工具Gobuster
weixin_34240520的博客
07-13 1058
2019独角兽企业重金招聘Python工程师标准>>> ...
gobuster-windows-amd64
01-07
5. **速度与性能**:由于是为AMD64架构优化,`gobuster-windows-amd64`版本通常能提供良好的性能,快速处理大量请求,适应大规模扫描任务。 6. **词典支持**:gobuster 支持自定义词典,你可以根据目标网站的特点...
Gobuster - Kai下敏感目录扫描工具.zip
07-18
在“新建文件夹”中,可能包含与Gobuster相关的额外资源,如示例字典文件、使用教程或者特定环境的配置文件。为了充分利用这些资源,用户需要查看文件内容并根据指示操作。 总的来说,Gobuster是一个强大且灵活的...
recursive-gobuster:gobuster周围的包装器,可自动扫描新发现的目录
03-17
它除了可以做很多其他事情以外,还可以执行recursive-gobuster所做的所有事情。 如果您是来这里寻找递归内容发现工具的,请查看 。已淘汰已淘汰已淘汰递归gobuster 周围的包装器,可自动扫描新发现的目录。为什么呢...
itsLiterallyJustCalledRecon:Nmap,Gobuster,WhatWeb都在1个脚本中
02-14
从字面上看只是叫侦察 1个脚本中的Nmap,Gobuster,WhatWeb 1.chmod + x recon.sh 2. ./recon.sh 用法:./ recon.sh 〜#./recon.sh 10.10.0.50 正在运行Nmap ...正在运行Gobuster ...正在运行WhatWeb ...
pydir:一个非常简单的脚本,灵感来自用Python编写的gobuster和dirbuster
04-13
:snake: 派迪尔 :snake: 灵感来自魔鬼和飞龙。 用python编写。 很简单的。 有点慢,将来我会添加线程。...help>显示脚本的用法-u || --url>我们将发出请求的网络URL -w || --wordlist>您的单词列表路径-e || --...
扫描子域名
qq_62681309的博客
11-24 599
Gobuster是一款基于Go语言开发的Web应用程序枚举和目录扫描工具。它可以用于枚举Web服务器上的目录、URL重写规则、隐藏文件以及其他可能存在的安全漏洞。
hackthebox - Aragog (考点:ftp & xxe攻击 & 修改php代码提权)
冬萍子癸水
05-30 495
1 扫描 21想到ftp进去找东西,都提示了匿名可进,里面有个test文件,好直白。。 22想到可能有ssh登录 80进web信息搜集 C:\root> nmap -A 10.10.10.78 Starting Nmap 7.80 ( https://nmap.org ) at 2020-05-29 23:03 EDT Nmap scan report for 10.10.10.78 Host is up (0.25s latency). Not shown: 872 closed ports, 12
httpd开启status模块_Apache开启server-status状态查询
weixin_31088435的博客
01-14 241
为了便于监控http的实时运行状态、负载、连接数等状态,需访问http://localhost:80/server-status 此页面。但是该页面的开启必须在编译安装Apache时使用mod_status模块(网上查资料说法基本都一模一样。都是说要使用这个模块,但是很少说编译时加哪个参数,恕我愚笨,在编译的时候选了所有模块。知道的大神可以评论告知,感激不尽)开始动手:本次实验环境:Centos7...
gobuster 一款基于go开发的目录文件、dns和vhost爆破工具
whatday的专栏
12-03 4798
目录工具介绍工具优势Gobuster v3.0.1新特性工具可选模式内置帮助菜单dns模式帮助dir模式选项vhost模式选项工具安装代码发布使用“go get”源码构建字典与STDIN使用样例dir模式dns模式vhost模式项目地址Gobuster这款工具基于Go编程语言开发,广大研究人员可使用该工具来对目录、文件、DNS和VHost等对象进行暴力破解攻击。目前,该工具刚刚发布了最新的Gobuster v3.0.1版本。Gobuster可爆破的对象包括:Usage:Flags:中文翻译:Global F
Gobuster工具详解
最新发布
B_l_a_nk的博客
12-20 2642
主要介绍gobuster的安装及使用方法,分别介绍各种模式的详细介绍 docker运行gobuster的使用方法
gobuster-暴力破解目录,子域名
sweelg的博客
06-30 1868
GitHub地址:https://github.com/OJ/gobuster 主要有这几种模式 dir - 经典的目录暴力破解模式 dns - DNS 子域暴力破解模式 s3 - 枚举打开的 S3 存储桶并查找存在和存储桶列表 vhost - 虚拟主机暴力破解模式(与 DNS 不同!) 常用模式以及命令 dir模式 gobuster -m dir -fw -u https://mysite.com/path/to/folder -t 50 -w common-files.txt -x .p
Apache开启server-status状态查询
08-12 815
为了便于监控http的实时运行状态、负载、连接数等状态,需访问http://localhost:80/server-status 此页面。但是该页面的开启必须在编译安装Apache时使用mod_status模块(网上查资料说法基本都一模一样。都是说要使用这个模块,但是很少说编译时加哪个参数,恕我愚笨,在编译的时候选了所有模块。知道的大神可以评论告知,感激不尽) 开始动手:本次实验环境:Centos...
开启apache的server-status辅助分析工具
wuzekai2010的专栏
11-13 721
开启apache的server-status辅助分析工具
国内服务器安装ServerStatus探针
USeeNet
12-23 8922
概述 一直想为自己的vps安装状态监控,方便随时进行查看状态;经过一番查找,有以下几款比较优秀: NetDate、一款特别炫酷的开源探针,经了解发现,占用资源比较高;能十分详细的了解到自己主机的各方面状态,但是不能为监控面板提供加密,导致任何人都能够进入查看,所以个人不推荐使用。 Demo SeverStatus、非常轻便的一款探针,能够显示最基本的状态信息,我本人使用的是基于这个的多次改版的Hotaru,修改的更为美观。 Demo Linux Dash、功能齐全,面板直观,单VPS使用极佳。 Demo
gobuster 用法
07-27
gobuster 是一个用于主动发现 Web 目录和子域名的工具,使用它可以进行目录爆破和子域名枚举。以下是 gobuster 的基本用法: 1. 安装 gobuster:你可以从官方的 GitHub 仓库下载 gobuster,并按照说明进行安装。 2. 使用基本命令:基本的 gobuster 命令格式如下: ``` gobuster [options] <url> ``` 其中 `<url>` 是目标网站的 URL,`[options]` 是可选参数。 3. 设置字典文件:使用 `-w` 参数来指定使用的字典文件,例如: ``` gobuster -w /path/to/wordlist.txt <url> ``` 字典文件中包含了要用于爆破的目录或者子域名列表。 4. 指定线程数:使用 `-t` 参数来设置线程数,以提高爆破速度,例如: ``` gobuster -t 50 <url> ``` 5. 指定扩展名:使用 `-x` 参数来指定要检查的文件扩展名,例如: ``` gobuster -x php,txt,html <url> ``` 6. 其他高级选项:gobuster 还提供了一些其他的高级选项,如指定用户代理、忽略 SSL 错误、指定 HTTP 头等。你可以通过运行 `gobuster -h` 来查看所有可用的选项和参数。 请注意,使用 gobuster 进行目录爆破和子域名枚举可能会对目标网站造成不必要的负载压力,所以在使用时请遵守法律和道德规范,并获得合法授权。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值