目录
4. 在kali linux中用图形界面打开dirbuster如下图所示
1. 概述
DirBuster, buster英[ˈbʌstə(r)] n. 破坏者;
程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。
DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。
2. 实验前准备- 靶场-OWASP BWA
在VMware上打开OWASP_Broken_Web_App,打开后,如下图示靶场web地址是http://192.168.22.129
3. 爆破字典准备
在kali linux的指定目录下新建dir_dictionary.txt并输入参数
dir_dictionary.txt是爆破目录的字典,只要字典足够好(量大质量高),没有网站破不了!本次实验dir_dictionary.txt中的 内容是:
info
server-status
server-info
cgi-bin
robots.txt
phpmyadmin
admin
login
4. 在kali linux中用图形界面打开dirbuster如下图所示
5. 在OWASP DirBuster中设置参数:
-
DirBuster 窗口中,Target URL:输入要探测网站的地址;需要注意的是这个地址要加上协议,看网站是http还是https。 本实验中将目标 URL 设置为 http://192.168.22.129:80/
-
Work Method:选择工作方式;一个是get请求,一个是自动选择。一般选auto switch的自动选择,它会自行判断是使用head方式或get方式。
-
Number of Threats,是选择扫描线程数,一般为30。电脑配置好的可根据情况选择,本次实验将线程数设置为20
-
select scanning type:是选择扫描类型。list based brute force是使用字典扫描的意思,勾选上。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。pure brute force是纯暴力破解的意思。
-
File with list of dirs/files选择基于列表的暴力破解,然后单击“Browse浏览”。
-
在浏览窗口中,选择刚刚创建的文件 dir_dictionary.txt
-
select starting options:选项一个是standard start point(固定标准的名字去搜),一个是urlfuzz(相当于按关键字模糊搜索),如果选择url fuzz,随后在url tofuzz框中输入{dir}即可。本次实验选择Standard start point。
-
取消Be Recursive(递归)前面的勾选 。
-
对于这个配置,将其余选项保留为默认值 。
-
点击 Start (开始)。具体如下图示:
6. 查看Results选项卡,如下图示:
6.1 选项卡中的Size
表示文件夹或文件的大小
6.2 结果综述
我们的字典如下:
-
info
-
server-status
-
server-info
-
cgi-bin
-
robots.txt
-
phpmyadmin
-
admin
-
logn
-
结果是根据字典中的内容找出来的目录或文件
7. 总结
Dirbuster是一种履带式和粗暴式的混合物,它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与使用的文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。 为确定文件是否存在,DirBuster使用服务器的响应代码。最常见的响应。
dirb是Kali Linux中包含的cmmand-line工具,它还使用字典文件强制浏览服务器以识别现有文件和目录。要查看其语法和选项,请打开终端并输入#dirb命令。
扫一扫
352
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
