GOBUSTER - 目录/文件和DNS爆破工具。

最新推荐文章于 2024-06-06 09:32:47 发布

明月清风~~

最新推荐文章于 2024-06-06 09:32:47 发布

阅读量4.6k

点赞数

分类专栏： # 信息收j 文章标签：安全 web安全服务器

原文链接：https://zhuanlan.zhihu.com/p/33999581

版权

信息收j 专栏收录该内容

9 篇文章 0 订阅

订阅专栏

github:https://github.com/OJ/gobuster

gobuster-Web目录暴力破解工具帮助
Gobuster是Kali Linux默认安装的一款暴力扫描工具。它是使用Go语言编写的命令行工具，具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具，该工具支持同时多扩展名破解，适合采用多种后台技术的网站。实施子域名扫描时，该工具支持泛域名扫描，并允许用户强制继续扫描，以应对泛域名解析带来的影响。

常用命令行选项

-fw - 使用通配符结果强制处理域。
-np - 隐藏进度输出。
-m <mode>- 使用哪种模式，dir或者dns（默认:) dir。
-q - 禁用横幅/下划线输出。
-t <threads>- 要运行的线程数（默认值:) 10。
-u <url/domain> - 完整URL（包括方案）或基本域名。
-v - 详细输出（显示所有结果）。
-w <wordlist>- 用于暴力强制的wordlist的路径（-用于stdin）。
dns模式的命令行选项
-cn - 显示CNAME记录（不能与'-i'选项一起使用）。
-i - 显示结果的所有IP地址。
dir模式的命令行选项
-a <user agent string> - 指定要在请求标头中发送的用户代理字符串。
-c <http cookies> - 使用它来指定您可能需要的任何cookie（模拟身份验证）。
-e - 指定呈现完整URL的扩展模式。
-f- 附加/目录暴力。
-k - 跳过SSL证书的验证。
-l - 显示响应的长度。
-n - “无状态”模式，禁用结果状态代码的输出。
-o <file> - 指定要将输出写入的文件名。
-p <proxy url> - 指定用于所有请求的代理（方案与URL方案非常匹配）。
-r - 按照重定向。
-s <status codes>- 逗号分隔的状态代码列表集合被视为“正面”（默认值:) 200,204,301,302,307。
-x <extensions> - 要检查的扩展名列表（如果有）。
-P <password> - HTTP授权密码（仅限基本身份验证，如果缺少则提示）。
-U <username> - HTTP授权用户名（仅限基本身份验证）。
-to <timeout> - HTTP超时。示例：10s，100ms，1m（默认值：10s）

0x01 介绍&安装
Gobuster是一个扫描仪，寻找现有的或隐藏的Web对象。它通过对Web服务器发起字典攻击并分析

kali 版本 3.26.2 是没有安装这个的，按照一般流程应该这样

sudo apt-get isntall gobuster

0x02 使用
当然我是看的help

gobuster分为两种扫描模式，dir模式和dns模式

dir模式：
默认选项

1.gobuster -u http://www.xxoo.com/ -w words.txt
禁用状态码

2.gobuster -u http://www.xxoo.com/ -w words.txt -n  
详细输出

3. gobuster -u http://www.xxoo.com/ -w words.txt -v
显示返回内容长度

4. gobuster -u http://www.xxoo.com/ -w words.txt -l
输出静默、禁用和扩展状态的模式

gobuster -u http://www.xxoo.com/ -w words.txt -q -n -e

dns模式
gobuster -m dns -w subdomains.txt -u baidu.com #可以扫描子域名！！！！！！！

是不是呼应了标题

显示ip

gobuster -m dns -w subdomains.txt -u baidu.com -i 常见的命令行选项： -fw-暴力与通配符域处理的结果。 -m -对使用哪个模式，dir或dns（默认：dir) -q-标题下划线/禁用输出。 -t -运行的线程数（默认：10)。 -u <url/domain>-完整的URL名称(包括方案)或基本域名。 -v显示详细输出（-）的所有结果。 -w -字典的路径使用暴力破解。 ========================================================== 命令行选项dns模式 -cn-CNAME记录显示(不可以使用“-i”选项)。 -i-显示所有IP地址的结果。 ============================================================= 命令行选项dir模式 -a -指定要发送的用户代理字符串的请求标头中。 -c -定义任何cookies，您可能需要模拟(AUTH)。 -e-使扩展模式指定完整的URL。 -f-附加的目录/暴力。 -k-跳过验证的SSL证书。 -l-表示所述长度的响应。 -n-“无状态”模式，禁用的输出结果的状态代码。 -o -指定一个文件名，并将输出写到。 -p -指定要使用的代理方案对于所有请求URL匹配（多方案）。 -r-遵循重定向”。 -s -逗号分隔的列表的状态代码被认为是“阳性”（默认：200,204,301,302,307)。 -x -扩展的列表来检查，如果有的话)。 -P -HTTP基本身份验证(仅限授权密码，如果丢失的提示)。 -U -授权(HTTP基本认证的用户名）。

参考：https://github.com/OJ/gobuster

明月清风~~

关注

0
点赞
踩
6

收藏

觉得还不错? 一键收藏
0
评论
GOBUSTER - 目录/文件和DNS爆破工具。

GOBUSTER - 目录/文件和DNS爆破工具。github:https://github.com/OJ/gobustergobuster-Web目录暴力破解工具帮助Gobuster是Kali Linux默认安装的一款暴力扫描工具。它是使用Go语言编写的命令行工具，具备优异的执行效率和并发性能。该工具支持对子域名和Web目录进行基于字典的暴力扫描。不同于其他工具，该工具支持同时多扩展名破解，适合采用多种后台技术的网站。实施子域名扫描时，该工具支持泛域名扫描，并允许用户强制继续扫描，以应对泛域名解析带
复制链接

扫一扫

专栏目录