敏感文件、目录探测

已于 2024-02-02 12:41:55 修改
阅读量514 收藏 5
点赞数 3
分类专栏: 网络安全教程 文章标签: 大数据 搜索引擎 安全 网络
于 2024-02-01 22:25:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tmzy1/article/details/135967771
版权

一、常见敏感文件、目录

dirsearch安装及使用:

1、kali下clone安装

git clone https://github.com/maurosoria/dirsearch.git

安装成功后会生成一个文件夹:dirsearch

进入dirsearch并查看此文件夹下的文件

安装python库运行环境:(requirements.txt文件里是依赖的库文件名称)

pip3 install -r requirements.txt 

安装过程有点慢……估计要等15分钟左右。

mysql-connector-python安装时,报如下错误:

ERROR: Could not install packages due to an OSError:
HTTPSConnectionPool(host=‘files.pythonhosted.org’, port=443): Max
retries exceeded with url:
/packages/09/49/9f70542e711802788cd46c315ba7b69be09140e628048707e43506f7c858/mysql_connector_python-8.0.27-1commercial-py2.py3-none-any.whl
(Caused by
ConnectTimeoutError(<pip._vendor.urllib3.connection.HTTPSConnection
object at 0x045C5930>, ‘Connection to files.pythonhosted.org timed
out. (connect timeout=15)’))

问题原因是由于权限问题,在pip3 install 后加个user便可解决,亲测有效

pip3 install --user mysql-connector-python

2.使用 dirsearch

python3 dirsearch.py -e php,zip -u http://192.168.182.130/
 

-e参数:要探测的文件类型

-u参数:要探测的目标地址。以dvwa靶场为例,我的靶场地址192.168.182.130。

dirmap安装及使用:

1.kali下安装

git clone https://github.com/H4ckForJob/dirmap.git 

dirmap:一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑

进入dirmap目录,安装支持库

pip3 install -r requirement.txt

2.使用:

python3 dirmap.py -i 192.168.182.130 -lcf 

御剑目录扫描:

tmzy1
关注
  • 3
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
敏感文件目录探测
聚鼎安全
12-11 2048
目录敏感文件目录探测探测方法常见敏感文件目录常用后台工具扫描web 爬虫搜索引擎文件路径查看源码源码审计漏洞利用社会工程专门的技术支持目录旁站C段子域名 敏感文件目录探测 敏感文件敏感目录挖掘一般都是靠工具、脚本来找,当然大佬手工也能找得到。 探测方法 常见敏感文件目录 通常我们所说的敏感文件敏感目录大概有以下几种: 后台 robots.txt 数据库log sitemap.xml mysql.sql licence.txt Git hg/Mercurial svn/Subversion bzr/
Kali、windows安装dirmap
m0_62738062的博客
03-20 1077
kali、windows 安装使用目录扫描工具dirmap
敏感文件探测
liuy_uzhi的博客
07-17 1797
1、python环境配置 2、敏感文件探测实践 敏感文件类型: (1)网站管理后台 (2)数据文件 (3)备份文件 敏感文件探测原理 (1)猜测文件名,然后根据返回的http状态码判断文件是否存在(例如:200文件存在、301文件发生跳转、404文件不存在) (2) 3、改进思路 (1)php的站点用ASP的字典扫描无用。判断常见的网站脚本类型?(ASP、PHP、ASPX、JS...
Windows应急响应 - 敏感目录文件痕迹排查,最近打开的文件 Recent,临时目录Temp,预读取文件Prefetch,程序执行情况Amcache(1)
2401_84972814的博客
05-13 854
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
Dirscan-master敏感目录扫.rar
08-03
Dirscan-master敏感目录
最新敏感信息和目录收集技术
Ms08067安全实验室
07-06 504
点击星标,即时接收最新推文本文部分节选于《web安全攻防渗透测试实战指南(第二版)》,即将上架,敬请期待。敏感信息和目录收集目标域名可能存在较多的敏感目录文件,这些敏感信息很可能存在目录穿越漏洞、文件上传漏洞,攻击者能通过这些漏洞直接下载网站源码。搜集这些信息对之后的渗透环节有帮助。通常,扫描检测方法有手动搜寻和自动工具查找两种方式,读者可以根据使用效果灵活决定使用哪种方式或两种方式都使用。1...
敏感文件目录探测_如何进行敏感文件目录探测工具,2024年最新网络安全基础图形
2401_83946261的博客
04-16 433
dirmap:一个高级web目录扫描工具,功能将会强于DirBuster、Dirsearch、cansina、御剑。-u参数:要探测的目标地址。以dvwa靶场为例,我的靶场地址192.168.182.130。安装python库运行环境:(requirements.txt文件里是依赖的库文件名称)安装成功后会生成一个文件夹:dirsearch。进入dirsearch并查看此文件夹下的文件。估计要等15分钟左右。进入dirmap目录,安装支持库。问题原因是由于权限问题,在。-e参数:要探测文件类型。
【6】WEB渗透基础-敏感目录文件
司徒荆的博客
06-08 785
敏感目录文件
App敏感信息探测tools
最新发布
06-27
1. 静态分析:通过解析App的源代码或二进制文件,寻找可能暴露敏感信息的代码片段或API调用,无需运行App即可进行分析。 2. 动态分析:在真实或模拟环境中运行App,监控其在运行时的数据流向和网络通信,发现潜在的...
基于爬虫的动态敏感文件探测工具.zip
04-08
标题中的“基于爬虫的动态敏感文件探测工具”是一个利用爬虫技术来检测和识别动态环境中敏感文件的软件工具。这种工具通常应用于网络安全领域,帮助企业和个人预防数据泄露,保护重要信息的安全。它可能通过爬取网络...
主机可读写目录探测
04-12
通过PHP编写探测脚本,可以发现哪些目录允许执行写入操作,比如文件上传功能,防止未经许可的数据写入。 进行主机可读写目录探测通常涉及以下步骤: 1. **编写探测脚本**:使用ASP或PHP编写一段代码,尝试在指定...
Python-FileSensor基于爬虫的动态敏感文件探测工具
08-12
Python-FileSensor是一款基于Python开发的动态敏感文件探测工具,主要应用于网络安全领域,尤其是对于Web爬虫技术的应用。它能够帮助安全研究人员或者开发者检测并监控网络中的敏感文件变化,及时发现潜在的安全风险...
python3写的综合扫描工具,主要用来存活验证,敏感文件探测(目录扫描js泄露接口html注释泄露),.txt
04-22
扎根科技 191文章 22万总阅读 查看TA的文章> 评论 分享 微信分享 ...移动安全是指保护移动设备和移动应用程序免受安全威胁和攻击的一系列措施和技术。随着移动设备的普及和移动应用的快速发展,移动安全变得...
手工SQL注入流程与常用语句_sql注入 手工(2),34岁网络安全开发大叔感慨
2401_83974173的博客
04-16 673
1’ and (select count(*) from information_schema.tables where table_schema=database() group by concat(0x7e,(select table_name from information_schema.tables where table_schema=database() limit 1,1),0x7e,floor(rand(0)*2)))# 通过修改limit后面数字一个一个爆表。
dirsearch+dirmap+git_extract+SSRF+sqlmap+nikto
qq_61109509的博客
05-12 910
dirsearch dirsearch使用桌面 python dirsearch.py -u 网址 -e * dirmap dirmap使用在kali(还有一些没解决) SSRF 这篇很详细 浅记录一下 漏洞出现点 1、通过url地址分享网页内容功能处 2、转码服务:通过URL地址把原地址的网页内容调优使其适合手机屏幕浏览 3、在线翻译 4、图片加载与下载(一般通过url地址加载或下载图片处) 5、图片、文章收藏功能 6、未公开的api实现以及其他调用url的功能 7、云服务器商(它会远程执行一些命令来判
信息收集之敏感目录扫描
buffedon的博客
07-25 2545
信息收集之敏感目录扫描敏感目录扫描工具dirbwwwscancansinaWebdirscan敏感目录类型robots.txt 敏感目录扫描 敏感目录扫描能够得到其他网页的很多信息,找到后台管理页面,尝试进入后台,然后提升权限等 扫描网站目录结构,看看是否可以遍历目录,或者敏感文件泄露 工具 御剑,dirb,dirbuster,dirmap,dirsearch,wwwscan,cansina,Webdirscan 等 dirb wwwscan cansina Webdirscan dirbuster h
Python武器库开发-武器库篇之敏感路径扫描器开发(四十二)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
01-07 863
我们在信息收集的过程中,会发现部署的目标网站之后会有很多的敏感文件,比如说配置文件(.cfg)、数据文件(.sql)、目录文件(/backup /conf /admin)。敏感路径扫描是一种网络安全测试技术,目的是识别目标系统中可能存在的敏感路径或文件敏感路径或文件通常是系统中存储敏感信息的地方,例如配置文件、日志文件、数据库文件等。,我们只需要去准备一个敏感路径的字典,去拼接路径进行爆破,然后观察返回的响应状态码,若状态码为 200,则表示成功,存在这个敏感路径,敏感路径扫描器开发的核心思想就是这样。
渗透测试工具篇之目录扫描工具dirmap安装详细教程
sha1_mi的博客
06-23 1518
python版本: Python 3.7.7【建议安装】git版本:git version 2.36.1。
敏感文件/目录扫描工具 dirsearch
热门推荐
single_g_l的博客
12-28 1万+
目录 1、dirsearch 是什么? 2、dirsearch的下载和安装 3、在dirsearch.py所在目录,输入cmd,进入命令行 4、dirsearch 的 参数 5、实战 6、查看响应码为200的目录 1、dirsearch 是什么? dirsearch 是一个python开发的目录扫描工具。和我们平时使用的御剑之类的工具一样,就是为了扫描网站的敏感文件目录从而找到突破口。 2、dirsearch的下载和安装 下载地址: http://链接: https:...
dirsearch目录探测
01-05
Dirsearch是一种用于在Web服务器上进行目录文件探测的工具。它可以帮助用户发现隐藏在网站目录结构下的文件文件夹,从而增加了网站的安全性。 Dirsearch的工作原理是通过使用一个字典文件来遍历目标网站的目录文件,检测是否存在任何敏感信息或者未授权访问的目录文件。这个工具可以通过使用不同的扫描模式来进行目录探测,例如使用常见的文件目录名称、使用数字和字母的组合来猜测目录名称等。 Dirsearch的用途非常广泛,它可以用于发现网站上存在的潜在安全漏洞,也可以用于测试自己的网站结构是否存在潜在的风险。此外,安全研究人员和渗透测试人员也可以使用Dirsearch来进行目标网站的信息搜集和安全评估。 然而,需要注意的是,使用Dirsearch进行目录探测也可能违反一些法律规定,比如未经授权地访问目标网站,因此在使用Dirsearch之前需要谨慎考虑法律和道德风险。 总的来说,Dirsearch是一款非常方便实用的目录探测工具,可以帮助用户快速有效地发现网站结构中的隐藏信息和安全隐患,但在使用时需要慎重考虑法律和道德风险。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值