目录扫描神器 - DirBuster

版本说明：DirBuster0.12

下载地址：https://sourceforge.net/projects/dirbuster/files/

使用环境：基于java

工具说明：

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。DirBuster就是用来探测web目录结构和隐藏的敏感文件的

一、环境变量配置

DirBuster是基于java的应用程序需要Jre环境
Java环境下载：https://www.java.com/zh_CN/ （加载器）
安装过程中一定要勾选“add to path ”（添加环境变量）

二、使用说明

1) 启动dirbuster软件界面如下：

2）在Target URL内输入待爆破的URL（格式如https://bbs.zkaq.cn/, 选择线程数，使用List模式并点击Browse加载字典文件。

①：Target URL：输入要探测网站的地址；需要注意的是这个地址要加上协议，看网站是http还是https。
②：Work Method：选择工作方式；一个是get请求，一个是自动选择。一般选auto switch的自动选择，它会自行判断是使用head方式或get方式。
③：Number of Thread：是选择扫描线程数，一般为30。电脑配置好的可根据情况选择。
④：select scanning type：是选择扫描类型。list based brute force是使用字典扫描的意思，勾选上。随后browse选择字典文件，可用自己的，也可用dirbuster自己的。pure brute force是纯暴力破解的意思。
⑤：select starting options：选项一个是standard start point（固定标准的名字去搜），一个是urlfuzz（相当于按关键字模糊搜索），选择url fuzz，随后在url tofuzz框中输入{dir}即可。

注意：打开后，如果没有看到 start 按钮，请把窗口拉大，就可以看到了。

3）扫描结果

最常见的响应在下面列出：
200 OK ：文件存在并能够读取。
404 File not found ：文件不存在。
301 Moved permanently ：这是到给定 URL 的重定向。
401 Unauthorized ：需要权限来访问这个文件。
403 Forbidden ：请求有效但是服务器拒绝响应。