DirBuster工具扫描敏感文件
DirBuster是一个多线程Java应用程序,旨在强制Web/应用程序服务器上的目录和文件名。它可以选择执行纯暴力,在查询隐藏文件和目录方面非常好用。
1)安装DirBuster
前提:电脑中必须安装过java
下载地址:https://sourceforge.net/projects/dirbuster/
2)使用DirBuster
说明:
①:Target URL:输入要探测网站的地址;需要注意的是这个地址要加上协议,看网站是http还是https。
②:Work Method:选择工作方式;一个是get请求,一个是自动选择。一般选auto switch的自动选择,它会自行判断是使用head方式或get方式。
③:Number of Thread:是选择扫描线程数,一般为30。电脑配置好的可根据情况选择。
④:select scanning type:是选择扫描类型。list based brute force是使用字典扫描的意思,勾选上。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。pure brute force是纯暴力破解的意思。
⑤:select starting options:选项一个是standard start point(固定标准的名字去搜),一个是urlfuzz(相当于按关键字模糊搜索),选择url fuzz,随后在url tofuzz框中输入{dir}即可。
注意:打开后,如果没有看到 start 按钮,请把窗口拉大,就可以看到了。
在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些
(坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~
否则的话扫的就是127.0.0.1:8080下的目录了
3)扫描结果