要想熟悉目標網站的體系架構,知道網站有哪些目錄是必不可少的
向AWVS,Burp類大型掃描工具也可以進行目錄掃描,不過個人感覺遠沒有專業掃描工具來的簡單,實在
0x 01 DirBuster
簡介:DirBuster是Owasp(開放Web軟體安全項目- Open Web Application Security Project )開發的一款專門用於探測Web服務器的目錄和隱藏文件。
由於使用Java編寫,電腦中要裝有JDK才能運行。
1. 配置說明
點擊Options—Advanced Options打開如下配置界面
在這里可以設置不掃描文件類型,設置遇到表單自動登錄,增加HTTP頭(Cookie……),
以及代理設置,超時鏈接設置,默認線程,字典,擴展名設置
有時間的小伙伴自己搗鼓搗鼓 ,這里不多說了
2. 掃描測試
本地搭建了一個Dede站,直接開擼
在第4步中也可以選擇純暴力破解模式,命中率不高,相比之下還是模糊測試好用些
(壞笑~)上面有一個小錯誤,在第7步的時候,掃目標站下的目錄應該填寫/DedeCms5.7/{dir} 不知道細心的小伙伴發現了沒~
否則的話掃的就是127.0.0.1:8080下的目錄了
3. 掃描結果
這是本地掃描目錄列表,點擊TreeView可以自己查看目錄樹
0x 02 御劍
國內第一后台掃描神器
不用配置,填上網站,只需要點一下就夠了,上圖
簡單粗暴,果然還是御劍符合吾等小菜菜使用,期待御劍的其他作品。
Summary:
前面文章已經說過了,對於目錄掃描我們可以手動查看robots.txt,說不定后台就放在里面。
還是那句話,一個掃描器掃描結果不理想時,我們大可以兩個掃描器一起上。工具是死的,要學會靈活使用 !