使用DirBuster寻找敏感文件和目录

已于 2023-05-29 21:41:41 修改
阅读量706 收藏
点赞数 1
文章标签: linux 运维 服务器
于 2023-05-29 21:05:37 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/y3174445239/article/details/130928279
版权

目录

1.前言

2.实验目标 

3.实验环境

 4.实验步骤

4.1、创建爆破字典目录

 4.2、在kali linux中打开dirbuster

 4.3、在OWASP DirBuster中设置参数

 4.4. 查看Results选项卡​编辑

5、总结

1.前言

        DirBuster是一个多线程基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具; 主要用来探测web目录结构和隐藏文件.

         扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典

2.实验目标 

编写字典使用DirBuster寻找敏感文件目录

3.实验环境

  • kali20kali-linux-2022.4主机 
  • 靶场-OWASP BWA

 4.实验步骤

4.1、创建爆破字典目录

在root目录下创建文本文档,并在其中编写爆破字典

touch /root/dir_sy.txt
vi /root/dir_sy.txt

 一部分爆破字典

info
server-status
server-info
cgi-bin
robots.txt
phpmyadmin
admin
login

 4.2、在kali linux中打开dirbuster

方法1、在会话中打开dirbuster

方法2、在图形界面打开dirbuster

 

application
web application analysisweb应用程序分析
Web Crawlers   & Directory Bruteforce网络爬虫&目录brueforce
dirbuster探测web目录结构和隐藏文件的工具

 4.3、在OWASP DirBuster中设置参数

 

 4.4查看Results选项卡

 1、在选项卡中type里面DIr:DIR 是directory的缩写,是目录的意思;在DOS操作系统中DIR 用来查看磁盘中文件的命令,dir有很多的参数。

2、在选项卡中type里面File:文件

3、选项卡中的Response里面的内容:

这一列中的内容是数字,代表相应代码,不同的代码表示不同的含义,具体如下所示:

  • 200 成功:文件存在。 
  • 404 未找到:服务器中不存在该文件。 
  • 301 永久移动:请求的网页已永久移动到新位置,这是重定向到给定的URL。
  • 302 临时移动:服务器目前从不同位置的网页响应请求。 
  • 303 查看其他位置:请求者应当对不同的位置使用单独的GET请求来检索响应时,服务器返回此代码。 
  • 401 未授权:访问此文件需要身份验证,对于需要登录的网页,服务器可能返回此响应。 
  • 403 禁止:请求有效但服务器拒绝响应。 
  • 500 服务器内部错误:服务器遇到错误,无法完成请求。

4、选项卡中的Size:表示文件夹文件的大小

5、结果综述:结果是根据字典中的内容找出来的目录或文件。

5、总结

Dirbuster是一种履带式和粗暴式混合物; 它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与我们使用的文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。

21计算机网络技术2班袁维烽
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
目录扫描Dirbuster的用法详解
小丁长不胖
11-17 9096
WEB 渗透测试工具dirbuster使用方法 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。 DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务
pydir:一个非常简单的脚本,灵感来自用Python编写的gobuster和dirbuster
04-13
:snake: 派迪尔 :snake: 灵感来自魔鬼和飞龙。 用python编写。 很简单的。 有点慢,将来我会添加线程。 用法 用法> python3 pydir.py -u [URL] -w [WORDLIST PATH] -e(不是必须的)[EXTENSION] 示例> python3 pydir.py -u https:// www .web .com / -w /home/user/Desktop/wordlists/dict.txt -e php ▼装备▼ -h || --help>显示脚本的用法-u || --url>我们将发出请求的网络URL -w || --wordlist>您的单词列表路径-e || --extension>将在URL末尾添加的扩展名。 不用了 谢谢阅读!
渗透——目录扫描神器DirBuster用法
热门推荐
weixin_45116657的博客
09-27 2万+
一、渗透测试的简介: 渗透测试可以使用不同的方法进行,成为黑、灰和白盒。黑盒是指测试团队除了服务器的URL外,没有关于要测试的应用程序的任何以前的信息;白盒表示团队拥有目标、基础架构、软件版本、测试用户、开发信息等所有信息;灰盒是介于黑盒和白盒中之间的一个点。 对于黑盒方法和灰盒方法,正如我们在上一章中看到的那样,侦察阶段对于测试团队发现应用程序所有者可以在白盒方法中提供的信息是必要的。 继续...
DirBuster一键发现网站的隐藏目录(KALI工具系列三十九)
最新发布
LNN0212的博客
07-10 535
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。DirBuster 是一个多线程目录文件强制浏览工具,通常用于渗透测试中发现隐藏的目录文件。它可以通过字典攻击的方式遍历网站的目录结构,找到潜在的未公开资源。
2021Kali系列 -- 目录扫描(Dirbuster)
weixin_41489908的博客
04-04 2万+
我心里一直是有个坎儿过不去,我总感觉我和她还没有结束,但我比谁都清楚,我跟这个人没有以后了。。。 ---- 网易云热评 简介:DirBuster支持全部的Web目录扫描方式。它既支持网页爬虫方式扫描,也支持基于字典暴力扫描,还支持纯暴力扫描。该工具使用Java语言编写,提供命令行(Headless)和图形界面(GUI)两种模式。其中,图形界面模式功能更为强大。用户不仅可以指定纯暴力扫描的字符规则,还可以设置以URL模糊方式构建网页路径。同时,用户还对网页解析方式进行各种定制,提高网址解析效率。 一、.
Web 目录爆破神器:DirBuster 保姆级教程(附链接)
Flag少侠的博客
02-09 1685
Web 目录爆破神器:DirBuster 保姆级教程(附链接)
DirBuster-0.12.zip
05-25
用户可以自定义词典,也可以使用预设的词典,这些词典通常包含了常见的Web文件目录名。 2. **多线程**:为了提高效率,DirBuster采用多线程并发发送请求。线程的数量可以根据网络环境和服务器性能进行调整。 3. ...
目录扫描+JS文件中提取URL和子域+403状态绕过+指纹识别
02-06
目录扫描是一种网络安全工具和技术,用于发现Web服务器上未公开或隐藏的文件目录。这通常通过自动发送HTTP请求到不同的路径来实现。工具如`DirBuster`或本例中的`dirsearch`可以生成一个字典,包含可能的文件名和...
ruby-dirbuster:一个简单的Ruby工具,用于查找网站上的隐藏文件
03-25
1. **字典攻击**:它使用一个预定义的字典文件,包含了常见的文件名和目录路径,例如“admin”、“.htaccess”等。用户也可以自定义字典来适应特定的需求。 2. **递归扫描**:一旦找到一个有效的目录,工具会继续在...
目录检测相关渗透测试软件
08-10
例如,`DirBuster` 是一款流行的开源工具,它使用字典攻击策略来枚举和猜测Web服务器上隐藏的目录文件。另一款名为 `Burp Suite` 的集成渗透测试套件,其中的 `Directory Spider` 功能可以自动化地发现Web应用的...
安全渗透详细-目录爆破教程.rar
08-13
这种攻击通常用于寻找隐藏的敏感信息,如备份文件、源代码、配置文件等。攻击者会通过自动化工具,生成大量的目录文件名组合,尝试访问这些可能存在的路径。 目录爆破的基本步骤包括: 1. **路径生成**:攻击者...
Dirbuster目录扫描工具使用学习
qq_34942239的博客
09-18 1840
Select scanning type:选择扫描类型,第一种是字典,第二种是单纯的暴力破解,一般使用字典,dirbuster自带字典在/usr/share/dirbust/wordlists里面。Select starting options:选择开始选项,第一种是标准模式爆破,第二种是url模糊爆破。work method:第一种是只使用GET请求,第二种是自动切换HEAD 和GET请求,一般使用第二种。dirbuster是kali自带的一款路径扫描工具,用来扫描网站的一些敏感文件
DirBuster
weixin_68177269的博客
01-16 1016
kali自带的网站目录扫描工具
网络安全自学篇之Web漏洞及端口扫描之Nmap、ThreatScan和DirBuster工具
Karka_的博客
06-03 2809
Web渗透技术的核心是发现Web漏洞,发现漏洞有手工和软件自动化扫描两种方式。对于用户验证漏洞、用户凭证管理问题、权限特权及访问控制漏洞、缓存漏洞、跨站脚本漏洞、加密漏洞、路径切换漏洞、代码注入漏洞、配置漏洞、数据和信息泄露、输入验证码漏洞、操作系统命令脚本注入、资源管理漏洞、SQL注入等常见Web漏洞,都可以通过Web扫描器进行扫描。
web目录扫描工具dirbuster使用详解
05-25 1万+
一、下载软件 官网下载 https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project 百度网盘 下载保存到本地 二、运行环境 需要已经有java环境 三、运行 进入所下载的文件目录,双击dirbuster.jar即可运行(mac、win都一样) 运行界面如下 输入url,选择字典 选择字典 点击开始 扫描结果如下 扫描完成,点击报告 选择报告生成的目录 生成报告 10.扫描结果报告如下 ...
dirbuster暴力破解工具
wutiangui的博客
05-03 222
填完url和字典后点击start即可漏洞评估,爆破字典位置:/usr/share/dirbuster/wordlists。dirbuster也是kali自带暴力破解工具。结束后可以点击report查看结果。
DirBuster目录扫描工具下载安装和简单使用
sinat_36735003的博客
08-16 7513
参考资料《Web安全攻防 渗透测试实战指南》 DirBuster是OWASP开发的,基于Java编写的,专门用于探测Web服务器目录和隐藏文件的工具,需要在在JRE下安装。 一、准备JAVA运行环境(此教程为jdk1.8版本) 1.下载地址: https://www.oracle.com/java/technologies/javase/javase-jdk8-downloads.html 2.下载时要求使用Oracle账号,有账号直接登录,没有账号需要创建账号 3.账号创建成功后开始
dirbuster保存
07-23
DirBuster 是一个用于扫描和发现 Web 服务器上隐藏目录文件的工具。它可以通过暴力破解或字典攻击来查找服务器上存在的目录文件。当 DirBuster 找到一个隐藏目录文件时,它会将其保存在扫描结果中。 保存 DirBuster 的扫描结果非常简单。在 DirBuster 工具中,你可以选择导出扫描结果为文本文件或 HTML 文件。然后,你可以将导出的文件保存在你喜欢的位置,以便以后查看或分析。 请注意,使用 DirBuster 扫描其他人的服务器是非法的,除非你获得了明确的授权。在进行任何网络活动时,请始终遵守法律和道德准则。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值