网站目录爆破的扫描器的思路

最新推荐文章于 2023-12-21 00:58:41 发布
最新推荐文章于 2023-12-21 00:58:41 发布
阅读量733 收藏 1
点赞数 1
文章标签: python
原文链接:https://my.oschina.net/sincoder/blog/119926
版权

2019独角兽企业重金招聘Python工程师标准>>> hot3.png

   题目起的有点不通顺。。

   网站目录 文件 爆破是攻击者的一个常见攻击手法  这个这可以达到 :

  1. 通过特定名称的文件 或者 目录 知道目标网站使用的是什么程序 进而寻找漏洞

  2. 扫描器直接扫出了漏洞文件 比如一个文件上传 一个编译器 又或者别人留下的后门

这往往是入侵的第一步既是信息刺探 也是一种攻击 

但是面对现在的一些网站很多扫描器的bug显现出来了。。。

   1,对404页面判断失效 一些网站自定义了错误页面 根本不返回 404 错误 导致一些扫描器晕了

   2 效率底下 ,就是不断的在一个循环里面 不断的发送请求 没有结合网站的返回数据 对扫描做调整

下面我们要实习一个牛X的扫描器了 应该怎么做  。。

其他方面都一样 只针对普通扫描器的短板也说:

 404 页面的判断  看了下自定义错误页面的实现  一直是返回了404错误 另一种是返回302跳到一个错误的页面  主要的思路就是先请求一个肯定不存在的页面 然后将返回的数据作为后面判断的依据  如果是404就好办了 不用保存数据了。。

智能的判断  主要的思路就是针对字典中的数据  先提交最前面的目录 看看存不存在 如果不存在 那么以后 只要是这个目录开头的文件都不用看了 这一点可以大大的优化速度 另外的就是 根据网站返回的目录信息 自动的和字典中的数据组合到一起 也就是递归的向下猜 比如请求 某页面得到目标网站存在一个目录 oschina 那么程序会自动的猜这个目录的子目录 当然先猜目录 后猜文件。。。

    先把思路(参考了很多其他人的做法)写在这 以后有时间实现下。。。

   

转载于:https://my.oschina.net/sincoder/blog/119926

?Briella
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
同IP多个端口域名同时进行目录爆破
墨痕诉清风的博客
02-13 894
在渗透过程中,发现一个IP中得到多个端口,且每个端口均是域名。其中 { } 中为我们输入的端口。同时进行多域名目录爆破
网站目录爆破工具
08-09
python编写的网站目录爆破 python dirscan.py 输入url 线程数 字典文件即可
目录爆破工具】信息收集阶段:robots.txt、御剑、dirsearch、Dirb、Gobuster
07-25 1817
【信息收集】目录爆破
CTF—Python爬虫-WEB目录爆破和指纹识别
weixin_52620919的博客
08-06 1771
编写自己的web目录爆破脚本。 首先我们要准备一个字典,用来爆破web目录,而且为了使扫描效果好一点,这个字典里面的内容几乎都是dedecms可能的目录。 其实要实现这个功能,原理很简单,只用读取字典文件中的每一项,与访问的url拼接成一个新的url,并对这个新的url发送GET请求,选出状态码为200的url,就是网站可以访问的url。当然为了使扫描的速度尽可能的快一些,还要使用多线程。 主要功能代码如下: 线程的使用: 同时,为了防止网站有防爬机制,对UA进行了校验,也为了防止使用同一个UA进行多
【信息收集】对后台目录进行爆破
wj33333的博客
11-24 776
进行后台目录爆破的主要目的是枚举可能存在的敏感信息,这些信息可能被组织用于控制其网络基础设施和服务。通过爆破技术,我们可以识别潜在的漏洞并试图利用它们来访问未经授权的数据和系统资源,用来进行测试。它可以帮助发现一个组织的所有已知和未知资产,并且可以通过在 Internet 上公开可用的数据源中搜索与给定父域名相关的信息来提高网络安全状况。是一个用于枚举和发现 Web 应用程序中存在的目录列表的工具。是一款开源的 Web 安全扫描器,可以帮助您发现 Web 服务器中的配置错误、软件漏洞和已知的安全问题。
2022-渗透测试-web目录爆破-常用的三个工具
保持微笑的博客
01-27 1万+
目录 1.dirb 2.dirbuster 3.ffuf 1.dirb dirb我之前写过一篇博客,这里再详细介绍一下。 dirb简介 dirb是一个基于字典的web目录扫描工具,采用递归的方式来获取更多的目录,可以查找到已知的和隐藏的目录,它还支持代理和http认证限制访问的网站在渗透测试过程中,是一个非常好用的工具。 dirb命令参数 格式:dirb <url_base> [<wordlist_file(s)>] [options] -a 设置user.
漏洞扫描器之敏感目录爆破.pdf
08-20
漏洞扫描器之敏感目录爆破.pdf
漏洞扫描器之敏感目录爆破.zip
10-25
漏洞扫描器之敏感目录爆破
网站目录字典后台文件字典.zip
09-09
用于网站目录文件扫描的字典,20+个字典,包含常见等搜集的字典,后台目录网站目录、文件目录等等
爆破各种服务网站的字典最全
04-21
标题“爆破各种服务网站的字典最全”暗示了这是一个包含多种用途的字典文件集合,适用于对不同服务和网站进行爆破尝试。描述中提到,这个字典集合包含了账号字典、网站目录字典、数据库字典以及用于撞库和查找后门的...
web目录爆破
xiaoxuetu_的博客
05-22 7688
1.dirb工具dirb http://url 字典目录2.dirbuster在命令行下输入dirbuster,出现以下页面依次填入信息即可。3.御剑
目录爆破工具dirsearch
热门推荐
Jiajiajiang_的博客
08-03 4万+
在github中下下来 网址:https://github.com/maurosoria/dirsearch 下载下来 我是用的kail 所以我把它也放在kail里面了 dirsearch需要python3,kail中是自带的 进入dirsearch目录后 执行./dirsearch.py -u 10.0.3.45 -e php -u 指定url -...
递归扫描文件设置深度_Android丨手把手教你实现网上文件的快速扫描
weixin_39925031的博客
12-02 376
Android作为一种基于Linux的自由及开放源代码的操作系统,多年来与iOS构成双垄断的局面,占据移动操作系统的半壁江山,拥有非常广泛的客户群。诚迈科技是早期加入Android市场的软件供应商之一,多年来为相关客户提供全套的Android操作系统解决方案,在手机、平板、汽车等行业都做出了不错的成绩,有丰富的技术开发经验。诚迈科技在本文要和大家分享的是——Android开发之网上文件快...
web安全:网站目录爆破+beef工具介绍
平平无奇
08-18 2452
一. 网站目录爆破工具 1.dirbuster,kali系统自带界面,使用起来非常简单 字典目录/usr/share/wordlists/dirbuster/directory-list-2.3-small.txt 2.dirb https://www.baidu.com 二、beef工具 1.kali系统自带beef工具,启动之后就可以生成web端的使用界面,还有一个hook.js脚本页面,将...
Web目录扫描工具:原理与实现
最新发布
Yuppie001的博客
12-21 972
理解并实现一个基本的Web目录扫描工具不仅是提升网络安全技能的一个重要步骤,也有助于更好地理解Web应用的安全架构。
信息收集之目录扫描-dirbuster
qq_58000413的博客
07-31 2012
由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易的访问到。原理程序在实现上没有充分过滤用户输入的../之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。owasp项目,dirbuster是一个多线程的基于java的应用程序设计用于暴力破解web应用服务器上的目录名和文件名的工具。探测网站的结构,可以扫到敏感文件、后台文件、数据库文件、和泄露信息的文件。a.目录遍历漏洞(前端数据包传输的时候没有验证可能会出现)优点可以扫出网站的结构,就非常的好。......
渗透测试学习7:目录扫描和后台查找
weixin_44315099的博客
03-03 3247
目录概述找网站后台办法整理谷歌黑客语法 概述 目录扫描作用点: 上传、管理后台、phpinfo、phpmyadmin登录页、⽹站源码备份等。 目录扫描原理: 不断通过提交⼀个HTTP请求来获取HTTP返回包,以查看返回包的信息来判断某个⽬录(⽂件)是否存在,直到结束。 请求方式:GET请求(完整)、HEAD请求(快)。 常见工具: 御剑、burpsuite、DirBuster等。 找网站后台办法整理 1, 穷举猜解 --> 目录扫描 就是根据字典进行穷举。 例子:御剑1.5 御剑珍藏版 御剑2.0
信息搜集-目录扫描
小刚的博客
10-19 8076
作者:小刚 一位苦于信息安全的萌新小白帽,记得关注给个赞,谢谢 本实验仅用于信息防御教学,切勿用于其它用途 目录扫描目录原理爆破工具1.御剑后台扫描工具2.burp3.dirbuster4.dirb5. 常见fuzz工具爬虫工具长亭rad浏览器爬虫总结 目录 网站目录本质上就是我们的文件夹,不同的文件夹放着不同的文件。 进行目录扫描是为了扩大测试范围,找到更多能利用的点。 原理 1.爆破 目录扫描最常见的就是通过一个字典进行爆破,字典的精准度决定了你扫描的完整度。 爆破的好处是能让我们发现一些隐藏页面,.
python目录扫描工具编写_3
weixin_46022050的博客
01-30 560
1、目录扫描原理 原理就是将已知的后台目录拼接到需要扫描的URL后面,如果拼接的URL存在,或者是一个303的页面,后者是403被禁止的页面那么将其输出到页面,如果是303页面,则把跳转后的页面也输出出来 2、实现步骤 字典的读取 文件读取一般用open方法进行读取,open函数的格式为open(filename,mode) 首先得给open函数一个文本读取对象,其次mode参数有三种: ...
webshall爆破思路
06-01
一般而言,WebShell爆破思路如下: 1. 寻找WebShell:首先需要在目标主机上寻找WebShell的位置,一般可以在Web应用程序的根目录或者某个子目录下找到WebShell文件。 2. 构造密码字典:根据已知的信息,构造一个...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值