目录拆分爆破工具

最新推荐文章于 2023-12-01 22:17:46 发布
最新推荐文章于 2023-12-01 22:17:46 发布
阅读量381 收藏 1
点赞数 1
文章标签: web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_52501704/article/details/131488874
版权
该文章介绍了一款针对Burp被动扫描或爬虫获取的大量目标URL进行目录拆分和爆破的工具,特别适用于未授权功能页面的查找。用户可以批量导入URL,通过GET/POST请求进行测试,通过目录拆分策略可能发现隐藏的接口和未授权页面。项目源代码可在GitHub上找到。
摘要由CSDN通过智能技术生成

burp开启被动扫描获取到大量target或者爬虫获取到大量target时,经常会出现以下URL的情况,手工无法对目录进行拆分进行简单的目录爆破,所以有了这款工具,思路比较简单,望批评指教。

 

http://target/path1/path2/path3/*
 

0x02 安装与使用
 

 

1、burp案例,复制所有url到工具即可。
 

 

2、批量请求get/post功能
 

 

3、目录拆分爆破功能,发现未授权比较好用,例如如下较为复杂的接口,在正常访问时会获取到相关目录的js,通过目录拆分进行爆破就有机会找到相应的未授权功能页面。
 

 

 

0x03 项目链接下载
 

 

https://github.com/NewBeginning6/Subdir-vul-find

                

        

        

    

  


    

      

        

            

              
                
                  H1111B
                
              
            

            

                关注
              
            

        

        

          
      

      









                



	

		

			

				
					
使用burp进行网站爆破

				
			

			

				

					qq_49015005的博客
				

				

					05-20
					
					8002
					
				

			

		

		

			
				
burp爆破的前提条件是该网站账号密码没有进行加密而是明文,且验证码可以重复使用,如下图数据包中直接显示账号与密码且验证码不需要重复提交(此处需要自己使用burp进行测试)

1.进入burp,监听浏览器
2.打开网站输入账号,密码,验证码点击登录抓取数据包,将数据包发送到intruder中

3.Intruder —> Positions 单击Clear , 选中账号—> Add
选中密码->Add,选择爆破模式:Cluster bomb(若有两处选择Cluster bomb,一处则选择

			
		

	



                

              
                



	

		

			

				
					
使用Burp Suite的Intruder模块发现敏感目录

				
			

			

				

					qq_71207842的博客
				

				

					07-04
					
					512
					
				

			

		

		

			
				
Interder是一个强大的模块,可以用于自动对web应用程序进行无差别、自定义攻击,它可以用来自动执行您的测试过程中可能出现的所有类型的任务。

			
		

	



                


  
              

                


	

		

			

				
					
Burp Suite序列之目录扫描

					
最新发布

				
			

			

				

					xsq123的专栏
				

				

					12-01
					
					2041
					
				

			

		

		

			
				
通过以上五个步骤,我们就可以使用Burp Suite进行目录扫描了。Burp Suite不仅可以爆破账号密码,还可以用来爆破目录。使用Burp Suite进行目录扫描有以下优点:无需安装其他工具,只需打开Burp Suite即可无需手动输入网址和字典,只需在浏览器中访问目标网站即可无需切换工具,只需在Burp Suite中选择相应的模块即可可以与其他渗透测试工具协同工作,方便整合当然,Burp Suite也有一些缺点,比如说:需要付费才能使用完整功能需要一定的学习成本才能掌握。

			
		

	





	

		

			

				
					
burpsuite爆破目录的注意事项

				
			

			

				

					weixin_50464560的博客
				

				

					08-15
					
					1688
					
				

			

		

		

			
				
1.进行抓包

 


2.将其发送到lntruder

 


3.使用替换脚本替换掉/

 


4.替换

 

5.替换结果

 


6.将多余的$$删除,在/后面添加$$    //$$就是payload

 


7.测试结果

 

 替换脚本代码:


?123456789101112131415161718192021222324252627import osimport reuser =

			
		

	



		

			
		



	

		

			

				
					
burp suite爆破sqli-labs的 less-5

				
			

			

				

					程序员阿飘 的博客
				

				

					01-08
					
					205
					
				

			

		

		

			
				
Payload sets中的 from 0 , to 127,还要加上步长 1 ,截图的时候没有注意!

			
		

	





	

		

			

				
					
python方式爆破拆分url地址,用于url地址的分析

				
			

			

				

					Geek彬的博客
				

				

					07-10
					
					1078
					
				

			

		

		

			
				
爆破拆分url地址示例
# https://baike.baidu.com/item/Jmeter/3104456?fr=aladdin&eee=112&daaa=3333&dss=333#ssddd
# https://baike.baidu.com/item/Jmeter/3104456?fr=aladdin#ssddd
# https://baike.baidu.com/item/Jmeter/3104456




import urllib.parse as f


ur

			
		

	





	

		

			

				
					
红队专题-渗透工具-sqlmap

					
热门推荐

				
			

			

				

					aming小老弟
				

				

					01-29
					
					2万+
					
				

			

		

		

			
				
目标对象  请求  优化   —线程。

			
		

	





	

		

			

				
					
HTML5 Canvas实现粒子爆破组装成文字的动画特效源码.zip

				
			

			

				

					11-03
				

			

		

		

			
				
5. 分析文字的形状,将每个字符拆分成多个可分解的粒子。 6. 使用定时器控制动画的更新频率。 7. 在粒子爆炸阶段,根据粒子的运动轨迹和速度展示爆破效果。 8. 在粒子重组阶段,按照预设顺序让粒子回归到文字形状,...

			
		

	





	

		

			

				
					
渗透测试学习目录

				
			

			

				

					liupc的学习笔记
				

				

					05-04
					
					3354
					
				

			

		

		

			
				
1. 行业术语扫盲

2.

3.






			
		

	





	

		

			

				
					
网站目录爆破工具

				
			

			

				

					08-09
				

			

		

		

			
				
python编写的网站目录爆破 python dirscan.py 输入url 线程数 字典文件即可

			
		

	





	

		

			

				
					
字典(包含弱口令,目录,后台)

				
			

			

				

					11-30
				

			

		

		

			
				
脚本小子是每个人的开始,从各种工具的使用才渐渐的对网安有了更加浓厚的兴趣。好的字典,目录,后台......是好的开始。包含弱口令、后台、目录、数据库。

			
		

	





	

		

			

				
					
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集

				
			

			

				

					墨鱼菜鸡
				

				

					07-11
					
					5774
					
				

			

		

		

			
				
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 
英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html
...

			
		

	





	

		

			

				
					
burp suite 抓包 上传中国菜刀木马  爆破密码

				
			

			

				

					qq_28422443的博客
				

				

					03-22
					
					4699
					
				

			

		

		

			
				
很多站长网站被挂马 出现很多问题 服务器生成许多恶意文件
一般是accert(),eval()这两种函数  当然黑客会把他们通过变量拼接或加密方式 达到不被防火墙杀毒软件检测出来
下面我演示 使用抓包 改包 上传菜刀木马和爆破后台
首先需要使用burp suite 需要安装idk (java运行环境)
burp suite集成了很多模块 爬虫 扫瞄器 解码器 等
我们下载 burp  suite ...

			
		

	





	

		

			

				
					
【burpsuite安全练兵场-服务端3】目录遍历漏洞-6个实验(全)

				
			

			

				

					
				

				

					12-30
					
					4317
					
				

			

		

		

			
				
【BP靶场portswigger-服务端3-目录遍历】6个实验-千文详解步骤

			
		

	





	

		

			

				
					
渗透测试:简单强大的目录扫描工具

				
			

			

				

					qq_62428674的博客
				

				

					09-07
					
					1938
					
				

			

		

		

			
				
Spider模块是一个自动化的爬虫,它可以根据网站的链接和表单,自动发现网站的目录和文件。Intruder模块是一个强大的攻击工具,它可以根据我们自定义的参数,对网站进行定制化的攻击。这里,我推荐使用Intruder模块来进行目录扫描,因为它可以让我们更灵活地控制扫描的过程和结果。要使用Intruder模块来进行目录扫描,我们需要先在HTTP history选项卡中,选择一个目标网站的请求,比如说,我们选择。一般来说,我们不需要修改这里的设置,因为它会自动从我们发送的请求中获取。

			
		

	





	

		

			

				
					
BurpSuite爆破讲解

				
			

			

				

					qq_43358922的博客
				

				

					08-03
					
					4652
					
				

			

		

		

			
				
一般而言,如果我们能够爆破成功,那么成功后反馈的页面和失败后反馈的页面一定是不同的。Intruder——是一个定制的高度可配置的工具,对web应用程序进行自动化攻击,如:枚举标识符,收集有用的数据,以及使用fuzzing 技术探测常规漏洞。Proxy——是一个拦截HTTP/S的代理服务器,作为一个在浏览器和目标应用程序之间的中间人,允许你拦截,查看,修改在两个方向上的原始数据流。Comparer——是一个实用的工具,通常是通过一些相关的请求和响应得到两项数据的一个可视化的“差异”。

			
		

	





	

		

			

				
					
全网最详细的burp验证码爆破

				
			

			

				

					kukudeshuo的博客
				

				

					01-12
					
					1万+
					
				

			

		

		

			
				
全网最详细的burp验证码爆破
前言
昨天也是做CTF题目的时候碰到了一道带验证码爆破的题目,想了想这么久了,一直都听说过有这么个东西,但是一直没有去实现,因为在现实生活中可能一般带了验证码的可能密码输错几次就被锁定了,
但是这个实现的过程真的是踩了很多很多的坑,网上所有的教程用的最多的就是使用captcha-killer这个插件,但是这个插件我是研究了两天也没有研究出来是怎么用的(可能是我太菜了),所以这里使用另外一款插件。
爆破过程

可以看到这里是已经将账号告诉你了,但是不知道密码,并且验证码会一直变

			
		

	





	

		

			

				
					
web目录爆破

				
			

			

				

					xiaoxuetu_的博客
				

				

					05-22
					
					7715
					
				

			

		

		

			
				
1.dirb工具dirb http://url 字典目录2.dirbuster在命令行下输入dirbuster,出现以下页面依次填入信息即可。3.御剑

			
		

	





	

		

			

				
					
excel表格拆分工具

				
			

			

				

					11-18
				

			

		

		

			
				
同时,一些优秀的拆分工具还会提供数据清洗、格式调整等功能,使得拆分后的数据更加规范和整洁。  总之,Excel表格拆分工具是一种非常实用的工具,能够帮助用户快速、准确地对Excel表格中的数据进行拆分,提高工作...

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值