WEB目錄掃描工具Dirbuster入門

2022-01-05 牧馬安全



0x00 簡介

      Dirbuster是Owasp(開放Web軟體安全項目- Open Web Application Security Project )開發的一款專門用於探測Web伺服器的目錄和隱藏文件;該工具提供GUI和終端兩種形式,支持多種掃描方式。

註:kali中默認集成該工具,本次使用kali演示

0x01 啟動Dirbuster

# 在終端下輸入dirbusterdirbuster
0x02 使用簡介
2.1 目標URL
填寫待掃描的目標
2.2 HTTP請求方法
該選項提供了兩種模式:
推薦使用「自動選擇」模式
2.3 設置線程數
選擇程序開啟的子線程數量
勾選「Go Faster」允許使用超過一百條線程(推薦線程數為CPU核心數 * 8)
2.4 字典選項
Dirbuster默認字典存儲位置:/usr/share/dirbuster/wordlists/
2.5 掃描配置
Standard start point:標準模式
URL Fuzz:URL模糊測試
Brute Force Dirs:爆破目錄
Brute Force Files:爆破文件
Be Recursive:遞歸掃描(慎用)
Use Blank Exension:使用空白拓展名
Dir start with:根路徑(部分站點為子目錄形式)
File extension:文件拓展
0x03 開始任務
3.1 點擊start開始掃描(如果找不到此功能,請嘗試增加窗口大小)
3.2 Scan information顯示當前掃描的進度
3.3 Result顯示了掃描的結果,支持列表展示和樹形展示
補充:常見的HTTP狀態碼如下:
200 - 請求成功
301 - 資源(網頁等)被永久轉移到其它URL
404 - 請求的資源(網頁等)不存在
500 - 內部伺服器錯誤
更多參考:https://www.runoob.com/http/http-status-codes.html
3.4 錯誤頁面
0x04 導出結果
4.1 等待掃描完成
掃描過程比較慢,耐心等待一會
掃描結束,共掃描到一個結果
4.2 導出掃描結果
點擊Report按鈕
點擊導出
查看導出的報告
0x05 END

相關焦點

  • 2021Kali系列 -- 目錄掃描(Dirbuster)
    ----  網易雲熱評簡介:DirBuster支持全部的Web目錄掃描方式。它既支持網頁爬蟲方式掃描,也支持基於字典暴力掃描,還支持純暴力掃描。該工具使用Java語言編寫,提供命令行(Headless)和圖形界面(GUI)兩種模式。其中,圖形界面模式功能更為強大。用戶不僅可以指定純暴力掃描的字符規則,還可以設置以URL模糊方式構建網頁路徑。
  • 目錄掃描神器 - DirBuster(附下載)
    2021的第一天!
  • 白帽子黑客教你:如何使用Dirbuster網站目錄掃描神器?
    3、講師實時交流和在線答疑微信:ihaha12一、背景介紹DirBuster是用來探測web伺服器上的目錄和隱藏文件的。因為DirBuster是採用java編寫的,所以運行前要安裝上java的環境。 ③:NumberofThread是選擇掃描線程數,一般為30。電腦配置好的可根據情況選擇。 ④:selectscanningtype是選擇掃描類型。listbasedbruteforce是使用字典掃描的意思,勾選上。隨後browse選擇字典文件,可用自己的,也可用dirbuster自己的。
  • Kali Linux Web滲透測試手冊(第二版) - 3.1 - 使用DirBuster尋找敏感文件和目錄
    繼續進行web滲透測試中的偵察階段,我們需要瀏覽web頁面中包含的每個連結,並記錄它所顯示的每個文件。有一些工具可以幫助我們自動化和加速這項任務;它們被稱為網絡爬蟲或網絡蜘蛛。這些工具根據外部文件的所有連結和引用瀏覽web頁面,有時填寫表單並將其發送到伺服器,保存所有請求和響應,並為我們提供脫機分析它們的機會。
  • 最新kali之dirbuster
    描述:    目錄掃描工具DirBuster支持全部的Web目錄掃描方式。
  • 《back track 5:從入門到精通》 入門筆記 之六
    /scans/掃描報告3.進入「掃描報告」文件夾雙擊report.html查看漏洞報告;其中「Severity」項包括Low/Medium/High等,其中informational表示敏感信息洩露3.2.2.3 nikto 掃描指定主機的Web類型、主機名、特定目錄、cookie、特定cgi漏洞、xss / sql漏洞等;終端 cd /pentest/web
  • 目錄掃描工具之dirsearch
    介紹dirsearch是一個基於python的命令行工具,旨在暴力掃描頁面結構,包括網頁中的目錄和文件。
  • 八大web目錄掃描工具(附下載連結)
    通過請求返回的信息來判斷當前目錄或文件是否真實存在。網站後臺掃描工具都是利用目錄字典進行爆破掃描,字典越多,掃描到的結果也越多。八大web目錄掃描工具:御劍、DirBuster、Webdirscan、Cansina、Dirsearch、awvs、wwwscan、dirmap介紹御劍是國內第一後臺掃描神器
  • [網絡安全] 八.Web漏洞及埠掃描之ZeNmap、ThreatScan和DirBuster工具
    轉自娜璋之家Web滲透技術的核心是發現Web漏洞,發現漏洞有手工和軟體自動化掃描兩種方式。
  • 網站目錄掃描工具
    DirBuster是Owasp(Open Web Application Security Project )開發的一款專門用於探測網站目錄和文件(包括隱藏文件)的工具。由於使用Java編寫,電腦中要裝有JDK才能運行。
  • dirmap - 一個高級web目錄、文件掃描工具
    Dirmap  一個高級web目錄掃描工具,功能將會強於DirBuster、Dirsearch、cansina、御劍需求分析經過大量調研,總結一個優秀的web目錄掃描工具至少具備以下功能:  並發引擎  能使用字典  能純爆破  能爬取頁面動態生成字典  能fuzz掃描  自定義請求  自定義響應結果處理...
  • dirsearch:基於Python的網站目錄結構掃描器
    dirsearch是一個基於python的命令行工具,旨在暴力掃描頁面結構,包括網頁中的目錄和文件。
  • Rustbuster——一個優秀的web信息fuzz工具集
    Directories and FilesA/AAAA DNS EntriesVhost EnumerationCustom Fuzzing8.3 Short NamesDirBuster有無無無無Gobuster有有有無無Wfuzz有無有有無Patator無無無有無IIS Short Name Scanner無無無無有Rustbuster
  • Web安全:目錄掃描工具
    教程列表 見微信公眾號底部菜單 |  本文底部有推薦書籍 微信公眾號:計算機與網絡安全ID:Computer-network目錄掃描工具主要針對網站目錄或者後臺管理地址進行暴力猜解的工具目錄掃描工具有一個共同的特性:目錄字典或者後臺管理字典越強大,其掃描出的目錄或者後臺管理地址的數目就越多、越準確。以前的目錄掃描工具有啊D注入工具(目錄掃描模塊)等,現在的目錄掃描工具有御劍、DirBuster及wwwscan等。1、御劍御劍是一款針對網站目錄及後臺管理地址進行掃描的工具。
  • 目錄探測之dirsearch
    0x00 目錄探測使用dirsearch基本是個人滲透過程的必經步驟。
  • 網絡安全工程師演示:白帽黑客如何通過dirsearch腳本工具掃描和收集網站敏感文件
    一、背景介紹dirsearch是一個基於python的命令行工具,旨在暴力掃描頁面結構
  • 微信web開發者工具、破解文件、開發文檔和開發Demo下載
    ,並安裝(注意:一定要安裝0.9版本)打開『微信Web開發者工具』的程序目錄Windows:使用資源管理器查看Mac:右鍵點擊圖標,選擇『顯示包內容』進入程序目錄後,替換以下文件(只需要替換0.9版本裡的,0.7版本用來登陸):/Resources/app.nw/app/dist/components
  • web安全測試---AppScan掃描工具
    關於安全測試方面的資料也很少,很多人所知道的就是一本書,一個工具。  一本書值《web安全測試》,這應該是安全測試領域維數不多又被大家熟知的安全測試書,我曾看過前面幾個章節,唉,鄙視一下自己,做事總喜歡虎頭蛇尾。寫得非常好,介紹了許多安全方面的工具和知識。我覺得就算你不去做專業的安全開發\測試人員。
  • Web應用安全掃描工具Appscan
    【工具】版本:appscan 9.0.0    appscan是一個綜合全面的安全掃描工具,適用於安全測試入門
  • Web滲透-掃描工具之burpsuite
    紅客突擊隊Web滲透——掃描工具之burpsuite前言