web目录字典_白帽子黑客教你:如何使用Dirbuster网站目录扫描神器?

最新推荐文章于 2024-04-16 15:20:44 发布
最新推荐文章于 2024-04-16 15:20:44 发布
阅读量540 收藏 2
点赞数
文章标签: web目录字典

声明:本头条号分享仅做学习交流,请自觉遵守网络安全法等法律法规!

据说点击了解更多,还有更多干货!但这干货有没有用,等你看了再说!

一、背景介绍

DirBuster是用来探测web服务器上的目录和隐藏文件的。因为DirBuster是采用java编写的,所以运行前要安装上java的环境。
来看一下基本的使用:
①:TargetURL下输入要探测网站的地址,需要注意的是这个地址要加上协议,看网站是http还是https。
②:WorkMethod是选择工作方式,一个是get请求,一个是自动选择。一般选autoswitch的自动选择,它会自行判断是使用head方式或get方式。
③:NumberofThread是选择扫描线程数,一般为30。电脑配置好的可根据情况选择。
④:selectscanningtype是选择扫描类型。listbasedbruteforce是使用字典扫描的意思,勾选上。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。
⑤:selectstartingoptions选项一个是standardstartpoint(固定标准的名字去搜),一个是urlfuzz(相当于按关键字模糊搜索),选择urlfuzz,随后在urltofuzz框中输入{dir}即可。
配置好后点击start开始即可。有时候你可能看不到开始按钮,把鼠标放到软件边拖动一下大小,放下下界面就会显示出来。DirBuster不仅可以暴力猜解目录,还可以进行蜘蛛爬行。

二、资源装备

1. 安装好Kali Linux的虚拟机一台;

2. 整装待发的小白一个。

三、战略安排

3.1 Dirbuster的路径,如下图所示。

路径:/usr/share/dirbuster

6f1dd464-271f-eb11-8da9-e4434bdf6706.png

3.2 在Dirbuster目录下使用java命令打开Dirbuster工具,如下图所示。

命令:java -jar DirBuster-1.0-RC1.jar

701dd464-271f-eb11-8da9-e4434bdf6706.png
711dd464-271f-eb11-8da9-e4434bdf6706.png

3.3 在任意路径打开Dirbuster工具的方式,如下图所示。

命令:dirbuster

721dd464-271f-eb11-8da9-e4434bdf6706.png

3.4 Dirbuster工具的爆破字典位置,如下图所示。

爆破字典位置:/usr/share/dirbuster/wordlists

731dd464-271f-eb11-8da9-e4434bdf6706.png

3.5 点击URl Fuzz设置对应变量,如下图所示。

变量:/{dir}

741dd464-271f-eb11-8da9-e4434bdf6706.png

3.6 设置完/{dir}变量后,选择Standard start point按钮,如下图所示。

751dd464-271f-eb11-8da9-e4434bdf6706.png

3.7 开始扫描,如下图所示。

761dd464-271f-eb11-8da9-e4434bdf6706.png

3.8 如下图所示,扫描进行中。。。。。

771dd464-271f-eb11-8da9-e4434bdf6706.png
791dd464-271f-eb11-8da9-e4434bdf6706.png

3.9 根据Response判断扫描的哪些网页可以访问,如下图所示。

响应码:1xx 服务器接收客户端消息,但没有接收完成,等待一段时间后,发送1xx状态码(很少出现)

2xx 成功。代表:200(成功)

3xx 重定向。代表:302(重定向),304(访问缓存)

4xx 客户端错误。代表:404(请求路径没有对应的资源) 405(请求方式没有对应的doXX方法)

5xx 服务端错误。代表:500(服务器内部出现异常)

7b1dd464-271f-eb11-8da9-e4434bdf6706.png

3.10 扫描结果如下图所示。

7d1dd464-271f-eb11-8da9-e4434bdf6706.png

PS:到此学习完毕,谢谢观看,获取更多干货请持续关注本号!

weixin_39576294
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
网站目录字典后台文件字典.zip
09-09
用于网站目录文件扫描字典,20+个字典,包含常见等搜集的字典,后台目录网站目录、文件目录等等
御剑WEB目录扫描优化版+字典
最新发布
06-06
御剑WEB目录扫描优化版+字典
最好的目录扫描工具dirsearch-master非常详细使用方法,2024年最新2024年你与字节跳动只差这份笔记
2401_83739632的博客
04-16 2220
使用网上收集的Springboot-ActuatorExploit字典扫描不出目录,但使用这个默认字典扫描出/swagger-resources目录。注:dirsearch的目录字典不能在其他扫描工具里面使用。注:requirements.txt文件在dirsearch-master目录里面,所以是进入dirsearch-master目录后执行的命令。//采用指定路径的wordlist且拓展名为php,txt,js的字典扫描目标url。//使用文件拓展名为php和txt以及js的字典扫描目标。
最全渗透测试工具讲解
08-31
渗透测试工具详解视频程,该课程分为三个部分,1、针对web扫描工具介绍,2、针对抓包工具介绍,3、针对信息探测介绍。(没章节都会将该章节介绍的工具共享给大家)这三部分基本涵盖了渗透测试中百分之80常见工具的使用。让小白测试人员在面对一个web系统时有一个基本的思路,方便后续深入学习web渗透。
DirBuster
weixin_68177269的博客
01-16 963
kali自带的网站目录扫描工具
目录扫描Dirbuster的用法详解
小丁长不胖
11-17 9019
WEB 渗透测试工具dirbuster使用方法 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务
DirBuster使用
ZJLE的博客
09-27 1141
下载地址:https://sourceforge.net/projects/dirbuster/ 下载好后进行安装 安装完成后在安装的文件夹中双击打开DirBuster.jar; 简单使用方法: 按步骤进行设置 1.在Target URL中输入要扫描的网址,如:输入www.xxx.com; 2.设置工作方法为Auto Switch(HEAD and GET); 3.设置线程数,建议20-30,太大容易引起系统死机; 4.设置扫描类型,选择List based brute force,点击Browse选择
web目录字典
07-24
常见的web站点url目录集合,对于自动化渗透测试和手动测试都很有帮助。
御剑 扫描神器含CTF专用目录字典
10-06
御剑 扫描神器含CTF专用目录字典
K-SVD.rar_K-SVD稀疏字典_k svd_k_svd_site:www.pudn.com_训练字典
07-14
详细介绍了K-SVD字典训练的详细过程,对稀疏表示研究很有帮助.
网站扫描字典珍藏.zip
05-22
常用网站目录扫描字典,包括asp、PHP、jsp等网站目录
信息收集(七)
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
12-16 806
目录扫描可以让我们看到这个网站存在多少目录,多少页面,探索出网站的整体结构。通过目录扫描我们还可以扫描敏感文件,后台文件,数据库文件,和信息泄露文件,等等。
web目录字典_GitHub 趋势榜 Web 目录扫描工具,火眼金睛驻守 Web 安全
weixin_39679370的博客
12-12 580
知名的 web 目录文件扫描工具有很多,如:御剑、DirBuster、Dirsearch、cansina。而实践出真知,在使用的过程中,我们一直在追求一款能够更全面功能更强大的工具,如果没有的话,那就自己写一个吧,于是 Dirmap 出现了。项目的创建者是一名立志安全开发的大学生,在刷src的时候,需要检查所有target的web业务系统是否泄露敏感目录、文件,工作量十分庞大,于是结合工作经验,自...
Dirbuster目录扫描工具使用学习
qq_34942239的博客
09-18 1786
Select scanning type:选择扫描类型,第一种是字典,第二种是单纯的暴力破解,一般使用字典dirbuster自带字典在/usr/share/dirbust/wordlists里面。Select starting options:选择开始选项,第一种是标准模式爆破,第二种是url模糊爆破。work method:第一种是只使用GET请求,第二种是自动切换HEAD 和GET请求,一般使用第二种。dirbuster是kali自带的一款路径扫描工具,用来扫描网站的一些敏感文件。
Web 目录爆破神器DirBuster 保姆级程(附链接)
Flag少侠的博客
02-09 1528
Web 目录爆破神器DirBuster 保姆级程(附链接)
DirBuster使用介绍
热门推荐
回忆式~过去.的博客
03-09 2万+
最近在做和华为合作的项目,由于华为对安全层面要求比较高,要求对敏感接口进行遍历,查看业务系统是否存在对外开放的敏感接口或者对接口进行权限控制,以及对目录列表进行测试确保所有的目录访问均不能打印文件列表,要求用DirBuster渗透工具,以此做个记录。 工具介绍 DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具; 主要用来探测web目录结构和隐藏文件. 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网
CTF比赛必备常用工具(附下载方式)
Karka_的博客
08-23 4891
在解题模式CTF赛制中,参赛队伍可以通过互联网或者现场网络参与,这种模式的CTF竞赛与ACM编程竞赛、信息学奥赛比较类似,以解决网络安全技术挑战题目的分值和时间来排名,通常用于在线选拔赛。主要包括六大类:PWN、CRYPTO(解密)、REVERSE(逆向)、WEB、MISC(杂项)其中,REVERSE(逆向)和MISC(杂项),在比赛中要使用大量的辅助工具,才能快速解题。本文章也主要聚焦这两类赛题的工具。
神兵利器——敏感文件发现工具
LiBai'S BLOG
07-04 3832
☠️Caesar一个全新的敏感文件发现工具 文件扫描是安服的一个基本环节,网络上关于文件扫描的工具也有很多,比如御剑,7kbscan,dirsearch等,但是在实战的时候还是遇到不少的问题,比如跨平台问题以及动态404问题。所以按照自己的经验重新造了一个轮子。Golang 1.15(推荐)日志和发现的信息会保存在results目录路径字典在assets/directory目录下,相比于其他的程序的路径文本字典,Caesar的路径字典是json,可以通过 将普通路径字典转换为程序能识别的json字典。将转
web目录扫描工具dirbuster使用详解
05-25 1万+
一、下载软件 官网下载 https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project 百度网盘 下载保存到本地 二、运行环境 需要已经有java环境 三、运行 进入所下载的文件目录,双击dirbuster.jar即可运行(mac、win都一样) 运行界面如下 输入url,选择字典 选择字典 点击开始 扫描结果如下 扫描完成,点击报告 选择报告生成的目录 生成报告 10.扫描结果报告如下 ...
用pyhtonGUI写自定义字典Web目录扫描器并且可以多个网站扫描
03-22
您可以使用Python的Tkinter模块来编写GUI界面,使用requests模块来进行网站扫描使用BeautifulSoup模块来解析HTML页面,使用自定义字典来进行目录扫描。以下是一个简单的代码示例: ```python import tkinter as ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值