参考资料《Web安全攻防 渗透测试实战指南》
DirBuster是OWASP开发的,基于Java编写的,专门用于探测Web服务器的目录和隐藏文件的工具,需要在在JRE下安装。
一、准备JAVA运行环境(此教程为jdk1.8版本)
1.下载地址:
https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html
2.下载时要求使用Oracle账号,有账号直接登录,没有账号需要创建账号
3.账号创建成功后开始下载
4.双击下载好的jdk-8u291-windows-x64.exe开始安装,下一步
5.cmd输入java -version确认是否安装成功
6.安装完成后配置环境变量
①点击‘计算机-属性-高级系统设置-高级-环境变量’
②设置JAVA_HOME:新建系统变量
变量名:JAVA_HOME
变量值:JDK路径
③设置Path:在系统变量中编辑Path
变量名:Path
变量值:%JAVA_HOME%\bin (JDK中bin的路径)
④cmd输入javac确认环境变量是否配置成功
二、DirBuster下载和安装
1.下载地址:https://sourceforge.net/projects/dirbuster/
2.下载好后进行安装
3.安装完成后在安装的文件夹中双击打开DirBuster.jar
三、DirBuster的简单使用
1.双击打开DirBuster.jar
2.按步骤进行设置
①在Target URL中输入要扫描的网址,如:输入http://eng.kuas.edu.tw/
②设置工作方法为Auto Switch(HEAD and GET)
③设置线程数,建议20-30,太大容易引起系统死机
④设置扫描类型,选择List based brute force,点击Browse选择字典(安装好后系统自带字典,也可以自己编写字典)
⑤在Select starting options中选择URL Fuzz方式进行扫描,在URL to fuzz中输入/{dir}
⑥点击Start开始扫描
【注】第⑤步中{dir}是一个变量,用来代表字典中的每一行,如果你扫描的目标是http://www.xxx.com/admin/,那么就要在URL to fuzz中填写/admin/{dir},如输入/admin/{dir}.php,则表示扫描admin目录下所有php文件。