WEB 渗透测试工具dirbuster的使用方法
扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典。
DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务器上的目录和文件名 。
DirBuster是Owasp(Open Web Application Security Project )开发的一款专门用于探测网站目录和文件(包括隐藏文件)的工具。由于使用Java编写,电脑中要装有JDK才能运行。
1.出现可视化窗口,配置很多,现在我们先填写空白的输入框部分,这里我们在第一个输入框填写扫描网站的url地址
2.出现字典的查找路径,进入第二个
3.为了快速演示选择了一个轻量级的字典
4.我们点击url fuzz
最下方的输入框追加上{dir}
5.最后我们点击开始扫描
6.进入扫描窗口,我们点击第二个查看
7.从response响应上来看,返回值200的路径应该是可以访问的,第一个是/本目录可以忽略,第二个/wp-content/可以直接追加上试一试
8.发现是空白页面,排除,继续往下看,发现返回302的几个字典名称为/login和/admin,这几个是常用的网站后台路径,所以也输入尝试一下
网站后台扫描工具都是利用后台目录字典进行爆破扫描,字典越多,扫描到的结果也越多。常用的网站后台扫描工具wwwscan、御剑、dirbuster和cansina,不管哪个工具,要想扫描到更多的东西,都必须要有一个强大的目录字典!
