DirBuster工具扫描敏感文件

DirBuster是一个多线程Java应用程序,旨在强制Web/应用程序服务器上的目录和文件名。它可以选择执行纯暴力,在查询隐藏文件和目录方面非常好用。

1)安装DirBuster

前提:电脑中必须安装过java

下载地址:https://sourceforge.net/projects/dirbuster/

2)使用DirBuster

说明: 
①:Target URL:输入要探测网站的地址;需要注意的是这个地址要加上协议,看网站是http还是https。 
②:Work Method:选择工作方式;一个是get请求,一个是自动选择。一般选auto switch的自动选择,它会自行判断是使用head方式或get方式。 
③:Number of Thread:是选择扫描线程数,一般为30。电脑配置好的可根据情况选择。 
④:select scanning type:是选择扫描类型。list based brute force是使用字典扫描的意思,勾选上。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。pure brute force是纯暴力破解的意思。 
⑤:select starting options:选项一个是standard start point(固定标准的名字去搜),一个是urlfuzz(相当于按关键字模糊搜索),选择url fuzz,随后在url tofuzz框中输入{dir}即可。 

注意:打开后,如果没有看到 start 按钮,请把窗口拉大,就可以看到了。

 

在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些

    (坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~

    否则的话扫的就是127.0.0.1:8080下的目录了

 

 3)扫描结果

最常见的响应在下面列出:
200 OK :文件存在并能够读取。
404 File not found :文件不存在。
301 Moved permanently :这是到给定 URL 的重定向。
401 Unauthorized :需要权限来访问这个文件。
403 Forbidden :请求有效但是服务器拒绝响应。

 

posted @ 2019-04-11 15:24  溪棱  阅读(3660)  评论(1编辑  收藏  举报