dirb网站目录扫描工具详解

已于 2022-07-15 15:15:39 修改
阅读量6.8k 收藏 32
点赞数 5
分类专栏: 网络安全 文章标签: kali linux dirb 网络安全
于 2021-07-29 21:53:20 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zx77588023/article/details/119221032
版权
本文介绍了Kali Linux中的一款Web目录扫描工具DIRB,它用于基于字典暴力猜测目标网站目录。DIRB支持递归扫描、代理和HTTP认证,还能够从网页生成自定义字典。通过指定不同参数,如设置UA、Cookie、代理、输出结果、附加后缀和延迟时间,用户可以自定义扫描方式。实战部分展示了如何进行基本扫描、设置UA和Cookie、使用代理及输出结果等操作。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1 介绍

有勇气的牛排 — 攻防
Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。

1.1 什么是dirb

DIRB 是一个基于命令行的工具,可以根据单词列表对任何目录进行暴力破解。 DIRB 会发出一个 HTTP 请求,并查看每个请求的 HTTP 响应代码

1.2 如何工作

它内部有一个 wordlist 文件,默认情况下大约有 4000 个单词用于暴力攻击。 互联网上有很多更新的词表,也可以使用。 Dirb 在网站或服务器的每个目录或对象中搜索其词表中的单词。 它可能是容易受到攻击的管理面板或子目录。 关键是找到对象,因为它们通常是隐藏的。

2 安装

via Sourceforge:https://sourceforge.net/projects/dirb/

2.1 Ubuntu

apt install dirb

3 实战演练

3.1 help

 -a <agent_string> : Specify your custom USER_AGENT.
 -c <cookie_string> : Set a cookie for the HTTP request.
 -f : Fine tunning of NOT_FOUND (404) detection.
 -H <header_string> : Add a custom header to the HTTP request.
 -i : Use case-insensitive search.
 -l : Print "Location" header when found.
 -N <nf_code>: Ignore responses with this HTTP code.
 -o <output_file> : Save output to disk.
 -p <proxy[:port]> : Use this proxy. (Default port is 1080)
 -P <proxy_username:proxy_password> : Proxy Authentication.
 -r : Don't search recursively.
 -R : Interactive recursion. (Asks for each directory)
 -S : Silent Mode. Don't show tested words. (For dumb terminals)
 -t : Don't force an ending '/' on URLs.
 -u <username:password> : HTTP Authentication.
 -v : Show also NOT_FOUND pages.
 -w : Don't stop on WARNING messages.
 -X <extensions> / -x <exts_file> : Append each word with this extensions.
 -z <milisecs> : Add a miliseconds delay to not cause excessive Flood.

常用参数
-a 设置ua

-c 设置cookie带cookie扫描

-N 忽略某些响应码

-o 输出结果

-p 使用代理

-X 在每个测试目录上附加后缀

-z 设置毫秒延迟

3.2 正常扫描

默认

dirb 目标

自带字典

dirb 目标 字典路径

在这里插入图片描述

3.3 设置 ua 和 cookie

dirb 目标 字典路径 -a "ua"  -c "cookie"

在这里插入图片描述
这里uacookie的值自己填,截图中没有填

3.4 使用代理和输出结果

dirb 目标 字典路径 -p ip:port -o result.txt

3.5 设置附加后缀

dirb 目标 字典路径 -X test(这样每个被测试的字典都附加了test)

3.6 设置毫秒延迟

如果目标存在一些安全程序爬扫描太快被屏蔽的话可以设置-z参数单位是毫秒

dirb 目标 字典路径 -z 1000 (1秒)

现在是1秒访问一次

参考文章:
https://zhuanlan.zhihu.com/p/26549845
https://medium.com/tech-zoom/dirb-a-web-content-scanner-bc9cba624c86

[ 常用工具篇 ] kali 自带目录扫描神器 dirb Headless (命令行)模式详解
qq_51577576的博客
09-27 4385
[ 常用工具篇 ] kali 自带目录扫描神器 dirb Headless (命令行)模式详解 dirb是一个基于字典的web目录扫描工具,查找现有的(和/或隐藏的)Web对象,通过对Web服务器发起基于字典的攻击并分析响应的数据。 采用递归的方式来获取更多的目录,它还支持代理和http认证限制访问的网站,是在信息收集阶段获取目标信息常用工具手段。
web扫描工具-dirb
weixin_59114667的博客
03-02 460
功能:查看每个请求的http响应代码
目录扫描工具深度对比:Dirb、Dirsearch、DirBuster、Feroxbuster 与 Gobuster
vortex5的博客
03-08 1384
网络安全测试与渗透测试中,目录扫描(又称目录枚举)是一项至关重要的技术。它用于发现 Web 服务器上未公开的隐藏目录和文件,这些资源可能包含敏感数据、配置文件甚至潜在漏洞,因而成为攻击者与安全研究人员的关注焦点。Dirb、Dirsearch、DirBuster、Feroxbuster 和 Gobuster。它们各具特色,适用于不同的场景。本篇文章将深入剖析这些工具的特性、性能、优缺点及最佳应用场景,帮助你选择最适合自己的工具
网站目录扫描
06-08
很实用的一款目录扫描器,可用于查找网站的后台,上传路径、等...
渗透测试之信息收集 目录扫描工具(附带字典)
最新发布
浩策盾悟
04-15 3541
极速模糊测试工具,支持目录爆破、参数模糊测试(GET/POST)、多字典并发。: 多模式工具(支持 DNS、目录、子域名扫描),结合并发和字典优化。: 快速枚举隐藏目录和文件,支持自定义 HTTP 头和扩展名过滤。: 高性能递归扫描,自动过滤无效结果,支持代理和自定义字典。: 针对 Web 应用的深度模糊测试,结合目录和参数扫描。: 轻量快速,支持多线程、自定义字典、代理和递归扫描。: 经典工具,支持递归扫描、动态字典生成和结果可视化。: 轻量级工具,支持异步扫描和自定义字典,输出简洁。
Dirb目录扫描
weixin_45631123的博客
07-18 708
扫描完成后,你可以打开 output_file 文件查看 Dirb扫描结果。等待 Dirb 完成扫描。根据网站的大小和目录结构,扫描可能需要一些时间。为你要进行目录枚举的网站 URL,并将扫描结果输出到。
网站目录扫描工具dirb常用命令)
weixin_49816293的博客
12-31 1353
解析:-S​ 选项只显示成功(Success)的状态码,即200 OK、3xx Redirection等,忽略错误或未找到的响应。解析:-a​ 选项允许你自定义HTTP请求头中的User-Agent字段,这对于绕过某些基于用户代理的防护措施很有帮助。解析:-l​ 选项可以设置并发线程的数量,默认是11个。解析:-w​ 选项使得dirb​在遇到重定向时不会停止,而是继续扫描重定向后的地址,这样可以发现更多的潜在资源。解析:-r​ 选项开启递归模式,当发现新的目录时,会自动对该目录下的内容进行进一步扫描
DIRB:一款强大的Web目录扫描工具使用指南
xt350488的博客
08-08 3161
DIRB(DIR Browser)最初由Pablo Santos开发,自发布以来就因其简单、高效而受到欢迎。DIRB的工作原理是通过发送HTTP GET请求到服务器上的特定目录和文件,并分析响应来判断目录或文件是否存在。它支持多线程,可以快速扫描大量潜在的URL,并且可以自定义请求头和代理设置,增加了其灵活性和实用性。DIRB允许你自定义HTTP请求头,这在绕过某些简单的安全机制时非常有用。使用-H参数可以添加自定义请求头。
渗透测试web目录扫描dirb dirbuster ffuf 扫描原理和使用场景
nihao_ma_的博客
06-20 1610
DirbDirBuster和FFUF在扫描原理和使用场景上有所不同。
目录扫描Dirbuster的用法详解
小丁长不胖
11-17 9438
WEB 渗透测试工具dirbuster的使用方法 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。 DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务
windows下目录爆破工具dirsearch
11-15
【Windows下目录爆破工具DirSearch详解】 在信息安全领域,目录爆破是一种常见的渗透测试技术,用于探测Web服务器上未公开或隐藏的目录和文件。DirSearch是一款功能强大的、适用于Windows平台的目录爆破工具,它由...
扫描整个网站目录工具
11-07
可以列出一个网站目录工具,挺好用的,有对网站模板可以感兴趣的可以下下来看看!
ScanWebDirectory 网站目录扫描工具
08-09
看标题就应该知道是干什么用的,依然出自Spacehacker之手 小小的介绍下: 1.通过http头来判定返回结果 2.可设置返回时间延时 3.支持自定义筛选返回数据 4.自带扫描目录,也可以用自己的,把扫描目录命名为ScanWebDirectory.ini放在程序同目录下即可 5.返回数据延时的,可以通过双击单个链接进行重新扫描
扫描网站目录工具 很好用的一个工具
06-10
扫描网站目录工具 很好用的一个工具 收藏了
超好的扫描整个网站目录工具
06-09
扫描整个网站目录 超好的扫描整个网站目录工具
wwwscan目录扫描
08-06
图形界面的目录扫描器,个人认为比御剑好用,可自己扩充字典
渗透测试 ( 5 ) --- 扫描之王 nmap、渗透测试工具实战技巧合集
墨鱼菜鸡
07-11 6134
Nmap 官方文档 ( 中文文档是 Nmap 版本4.50,英文文档是最新的): 英文文档:https://nmap.org/book/man.html中文文档:https://nmap.org/man/zh/index.html#man-description官方 Nmap 项目指南:https://nmap.org/book/toc.html ...
网站目录扫描工具(FeroxBuster)
weixin_49816293的博客
12-31 1320
​FeroxBuster​ 是一个强大的Web内容发现工具,它通过暴力破解目录和文件路径来帮助识别Web服务器上未公开的资源。以下是FeroxBuster​的一些常用命令及其解析点关注,不迷路,请一键三连❤❤❤一、FeroxBuster和dirb的差异😱​FeroxBuster​ 和 Dirb​ 都是用于Web内容发现(也称为目录和文件暴力破解)的工具,但它们之间存在一些关键区别,dirb之前写过了一篇专门讲常用命令的,大家有兴趣的话可以看看。
Skipfish一键扫描网站漏洞(KALI工具系列三十四)
LNN0212的博客
07-01 882
Kali Linux 是一个功能强大、多才多艺的 Linux 发行版 ,广泛用于网络安全社区。它具有全面的预安装工具和功能集,使其成为安全测试、数字取证、事件响应和恶意软件分析的有效平台。作为使用者,你可以把它理解为一个特殊的Linux 发行版 ,集成了精心挑选的渗透测试和安全审计的工具,供渗透测试和安全设计人员使用,也可称之为平台或者框架。Skipfish是一个高效的 web 应用安全扫描器,常用于发现网站中的漏洞。使用 Skipfish 对 web 应用进行安全扫描,发现潜在的漏洞和安全问题。
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

有勇气的牛排

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值