一、背景介绍
DirBuster用于检测web服务器上的目录和隐藏文件。 因为DirBuster是用java编写的,所以必须在运行之前安装java环境。
让我们来看看基本的使用方法:
:在:TargetURL下输入搜索网站的地址。 需要注意的是,在这个地址上加上协议,看看网站是http还是https。
):工作方法是选择工作方式,一个是获取请求,一个是自动选择。 自动交换机的自动选择由自己判断是头部方式还是获取方式。
): thread编号选择扫描线程数,一般为30。 电脑的配置可以根据情况选择。
):选择扫描类型。 listbasedbruteforce的意思是使用词典扫描,打勾。 然后,browse可以选择词典文件,并使用自己的和dirbuster的。
):selectstartingoptions选项之一是标准开始点(按固定标准名称搜索),一个是urlfuzz ),选择urlfuzz,然后在urltofuzz框中
部署后,单击start开始。 虽然您可能看不到开始按钮,但是当您将鼠标悬停在软件上并拖动大小时,将显示以下界面。 DirBuster不仅可以暴力推测目录,还可以爬行蜘蛛。
二.资源装备
一台安装了Kali Linux的虚拟机; 一个准备好的gxdg。 三.战略部署
3.1 Dirbuster的路径如下图所示。
路径:/usr/share/dirbuster
3.2在Dirbuster目录中使用java命令打开Dirbuster工具,如下图所示。
命令: java -jar DirBuster-1.0-RC1.jar
3.3在任意路径上打开Dirbuster工具的方法如下图所示。
命令: dirbuster
3.4 Dirbuster工具爆破字典的位置如下图所示。
爆破字典位置:/usr/share/dirbuster/wordlists
点击3.5URLfuzz设定对应的变量,如下图所示。
变量:/{dir}
3.6//dir}变量设定结束后,如下图所示选择Standard start point按钮。
3.7如下图所示开始扫描。
3.8如下图所示,扫描正在进行中。
3.9确定可以访问响应扫描的哪个网页。 参照下图。
响应代码: 1xx服务接收客户端消息,但未完成接收。 等待一会儿,然后发送1xx状态代码(很少显示)。
2xx成功。 代表: 200 (成功)
3xx重定向。 代表: 302、304和访问缓存
4xx客户端错误。 代表: 404 (没有与请求路径对应的资源) 405 (没有与请求方式对应的doXX方法) )。
5xx服务端错误。 代表: 500 (服务器内部发生异常) )
3.10扫描结果如下图所示。
PS :学习到此结束。 感谢您的观看。 我们会得到更多的干货,请继续关注本期。
我计划学习完整的视频渗透课,更新1000节