web目录扫描工具

在对Web网站进行审计时,首先我们会对进场出现的/adminrobots.txt等信息和目录进行初步的审计获取重要的信息,但是手动猜测目录过于缓慢,使用工具能够迅速的爆破出目录
目录爆破取决于字典的强大,和高性能的机器。

御剑

下载地址:https://github.com/foryujian/yjdirscan

御剑是Windows中的一个Web目录扫描工具,拥有图形化命令行可以设置超时时间和县城对目标进行扫描

其中内置了针对各种服务的目录字典,在./files目录下,也有针对User-Agent绕过服务器检测的文件

使用非常的简单,点击选需要的字典,设置线程、超时时间

另外这里可以快速的切换User-Agent

基于命令行的使用yjdirscan.exe,与图形化类似,这里例如
yjdirscan.exe -url http://172.16.1.101/ -method GET -thread 20 -files all
这里也很好理解-method指定请求方式,-thread指定线程,files指定字典

当然也有fuzz模糊扫描,可以指定字符,这里不在演示,使用很简单

dirb

dirb是在kali中自带的工具,使用非常的便捷快速

dirb 目标地址 字典
例如:dirb http://172.16.1.101/,这里我并没有指定字典,使用默认字典
可以看到默认字典路径为:/usr/share/dirb/wordlists/common.txt

kali/usr/share/wordlists路径下存放着所以工具的字典,可以看到,拥有metasploit等字典

dirbuster

dirbuster也是kali中自带的工具,使用java语法开发的,拥有图形化和命令行界面


点击start会将扫描结果用目录结果的方式回显

Option -> Advanced Options,设置。
可以设置代理、不扫描的文件等信息,这里我得英语不太好,但是简单的扫描还是可以的

posted @ 2022-03-21 15:07  Junglezt  阅读(2089)  评论(0编辑  收藏  举报