目录扫描神器 - DirBuster

Track-SSG   ·   发表于 2020-11-10 14:52:24   ·   安全工具

版本说明:DirBuster0.12

下载地址:https://sourceforge.net/projects/dirbuster/files/

使用环境:基于java

工具说明:

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。DirBuster就是用来探测web目录结构和隐藏的敏感文件的

一、环境变量配置

DirBuster是基于java的应用程序需要Jre环境
Java环境下载:https://www.java.com/zh_CN/ (加载器)
安装过程中一定要勾选“add to path ”(添加环境变量)

二、使用说明

1) 启动dirbuster软件界面如下:

2)在Target URL内输入待爆破的URL(格式如https://bbs.zkaq.cn/, 选择线程数,使用List模式并点击Browse加载字典文件。

①:Target URL:输入要探测网站的地址;需要注意的是这个地址要加上协议,看网站是http还是https。
②:Work Method:选择工作方式;一个是get请求,一个是自动选择。一般选auto switch的自动选择,它会自行判断是使用head方式或get方式。
③:Number of Thread:是选择扫描线程数,一般为30。电脑配置好的可根据情况选择。
④:select scanning type:是选择扫描类型。list based brute force是使用字典扫描的意思,勾选上。随后browse选择字典文件,可用自己的,也可用dirbuster自己的。pure brute force是纯暴力破解的意思。
⑤:select starting options:选项一个是standard start point(固定标准的名字去搜),一个是urlfuzz(相当于按关键字模糊搜索),选择url fuzz,随后在url tofuzz框中输入{dir}即可。

注意:打开后,如果没有看到 start 按钮,请把窗口拉大,就可以看到了。

3)扫描结果

最常见的响应在下面列出:
200 OK :文件存在并能够读取。
404 File not found :文件不存在。
301 Moved permanently :这是到给定 URL 的重定向。
401 Unauthorized :需要权限来访问这个文件。
403 Forbidden :请求有效但是服务器拒绝响应。

打赏我,让我更有动力~

0 条回复   |  直到 2020-11-10 | 1784 次浏览
登录后才可发表内容
返回顶部 投诉反馈

© 2016 - 2024 掌控者 All Rights Reserved.