zoukankan      html  css  js  c++  java
  • 扫目录过狗过waf方法

    用御剑的朋友都遇到过这个页面吧,装狗了开启保护就会这样

    本机搭建安全狗设置发现,默认是过蜘蛛的,所以只要把http头来路改成蜘蛛的useragent就ok了

    无奈御剑和wscan 都是无法设置http头的,也无法用burp做代理中转改http头

    像AWVS,Burp类大型扫描工具也可以进行目录扫描,并且也可以挂代理,改http头,不过个人感觉远没有专业扫描工具来的简单

    因此翻出一款老工具

    DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。

    由于使用Java编写,电脑中要装有JDK才能运行。

    1. 配置说明

    点击Options—Advanced Options打开如下配置界面

    在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),

    以及代理设置,超时链接设置,默认线程,字典,扩展名设置

    有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了

    如果想过waf的话,这里需要改一下

    User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

    2. 扫描测试

    本地搭建了一个Dede站,直接开撸,英文不好的同学会发现坑有点多。我英语20分,咳咳。。

    以下是正确参数,御剑的字典直接拿来用

    在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些

    上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir}  不知道细心的小伙伴发现了没~

    否则的话扫的就是127.0.0.1:8080下的目录了

    3. 扫描结果

    这是本地扫描目录列表,点击TreeView可以自己查看目录树

    工具下载地址:

    https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project

  • 相关阅读:
    VC++基于ICMP 遍历路由表
    在XP上同时运行IE6,IE7,IE8,IE9
    VC++实现ARP协议
    在Windows Sever 2008 Windows7上同时运行绿色IE10测试HTML5
    VC++实践IOCP编程
    VC++实现检测网络状态所有的TCP与UDP通信
    VC++实现UDP数据包发送
    VC++实现改变网关
    面试十大难题的样板回答
    WinAPI: GetLocalTime、SetLocalTime、SetSystemTime 获取与设置系统时间
  • 原文地址:https://www.cnblogs.com/xishaonian/p/6623011.html
Copyright © 2011-2022 走看看