zoukankan      html  css  js  c++  java

  • kali目录扫描器Dirbuster简明教程(使用发方法整合)

    0x00简介

    DirBuster是一个多线程Java应用程序,旨在暴力破解Web应用程序服务器上的目录和文件名。此类工具与其附带的文件列表(字典)一样好+.+

    列表是从头开始生成,发放事爬网Internet并收集开发人员实际使用的目录与文件!DirBuster共有九个不同的列表,这让DirBuster可以在查找到被隐藏的文件和目录变得非常有效。感觉力度不够,DirBuster可以执行纯蛮力,让隐藏文件无处逃,时间充裕的话

    原理:使用”失败案例“,DirBuster将在测试之前确定实际的"失败案例"。执行与测试结果对比,如果不同,Dirbuster便确定存在内容(文件或目录)。

    详细信息访问https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

    0x01DirBuster目标、计划、线路图

    DirBuster目标

    • 生成一个可以查找隐藏内容帮助黑盒测试的工具
    • 确保所生产的工具能够提供信息,从而可以快速识别所产生的任何误报。
    • 生成可被上述工具使用的基于文本的列表。

    未来发展计划

    • 改善并完成Java部分 

    • 添加程序文档,例如帮助常见问题解答
    • 完整代码记录
    • 改进生成列表的DirBuster蜘蛛引擎
    • 收集有关的DIrBuster蜘蛛引擎

    线路图

    • 0.9.8-添加HTML解析(完整)
    • 0.9.9-实施跳过工作功能NTLM身份验证(完成)
    • 0.9.10-修复错误的维护版本(完整)
    • 1.0-完整的文档,生成新列表
    • 1.1-实现处理默认文件和目录列表的功能

    0x02 DirBuster使用

    需要Java1.6或更高的版本

    特征:

    DirBuster 提供的功能

    • 多线程记录的速度超过6000个请求每秒
    • 通过HTTP和https均可以工作
    • 扫描目录和文件
    • 将以递归方式扫描到它找到的目录中
    • 能够执行基于列表的扫描或纯暴力扫描
    • DirBuster可以在任何目录下启动
    • 可以添加自定义HTTP标头
    • 代理支持
    • 在HEAD和GET请求间自动切换
    • 失败的尝试返回200时的内容分析模式
    • 可以使用自定义文件拓展名
    • 程序运行时可以调整性能
    • 支持基本、摘要和NTLM身份验证
    • 命令行*GUI界面

    DirBuster列表

    DirBuster列表带有一组唯一的目录和文件列表,这些列表是根据开发人员在Internet站点上实际使用的文件和目录名生成的。列表的顺序急于找到的项目的频率。因此,最常见的项目显示在顶部。这些列表构成了DirBuster。

    注意:互联网充满了色情内容,不足为奇,所以,蜘蛛用来生成列表的过程不足为奇。此工具旨在用在合法安全性测试的一部分!

    下述列表包含在DirBuster中,或单独下载:

    • directory-list-2.3-small.txrt(87650个)-在至少3个不同主机上找到的目录/文件
    • directory-list-2.3-medium.txt-(220546个字)-在至少2个不同的主机上找到的目录/文件
    • directory-list-2.3-big.txt-(1273819个单词)-找到的所有目录文件/文件
    • directory-list-lowecase-2.3-samll.txt-(81629个)-Directory-list-2.3-small.txt的大小写不敏感
    • directory-list-lowercase-2.3-medium.txt-(207629个单词)-Directory-list-2.3-medium.txt不区分大小写的版本

    •  字典目录地址:usr share wordlist

    • 此处开始我是复制粘贴的,此片只是给自己做笔记用,如果你看到进来了,肯定是遇到了和我一样的疑问,希望可以帮到你。随便骂,随便喷,时间宝贵,建议多做些有意的事情。哈哈  --Gouwa

      • directory-list-lowercase-2.3-big.txt-(1185240个单词)-Directory-list-2.3-big.txt不区分大小写的版本
      • directory-list-1.0.txt-(141694个单词)-原始无序列表
      • apache-user-enum-1.0.txt-(8916个用户名)-用于根据启用的用户名列表猜测我在apache上的系统用户,该用户名基于我周围的用户名列表(无序)
      • apache-user-enum-2.0.txt-(10341个用户名)-用于根据列表生成过程中找到的〜XXXXX来猜测启用了userdir模块的apache上的系统用户(已订购)

    字典下载链接:      DirBuster-Lists.tar.bz2
    谨记,一切未经合法授权的黑客入侵攻击及隐私泄露行为都是非法的,后果自负 学着用技术去帮助更多人

    开发者

    项目负责人:James Fisher

    来自以下方面的代码贡献:

    • 约翰·安德森
    • er

    Mac软件包的DirBuster

    • 理查德·迪恩


    感谢开发工具的前辈们 此工具
  • 相关阅读:
    第02周学习提升建议:【python安装、变量、输入输出、流程、循环】--【第五篇】流程、循环
    向gitlab上传本地项目
    [jenkins+gitlab+postman] 持续集成
    linux 上安装newman
    【python】读取cfg/ini/txt配置文件
    【CI/CD】docker部署gitlab,并且本地拉取gitlab代码成功
    【CI/CD】docker部署Jenkins
    【TCP知识】03_Linux查看TCP连接状态
    【nginx知识】02_【转载】nginx反向代理时保持长连接
    【TCP/IP知识】02_【转载】TCP 半连接队列和全连接队列
  • 原文地址:https://www.cnblogs.com/Gouwa/p/12169323.html
Copyright © 2011-2022 走看看