用御劍的朋友都遇到過這個頁面吧,裝狗了開啟保護就會這樣
本機搭建安全狗設置發現,默認是過蜘蛛的,所以只要把http頭來路改成蜘蛛的useragent就ok了
無奈御劍和wscan 都是無法設置http頭的,也無法用burp做代理中轉改http頭
像AWVS,Burp類大型掃描工具也可以進行目錄掃描,並且也可以掛代理,改http頭,不過個人感覺遠沒有專業掃描工具來的簡單
因此翻出一款老工具
DirBuster是Owasp(開放Web軟體安全項目- Open Web Application Security Project )開發的一款專門用於探測Web服務器的目錄和隱藏文件。
由於使用Java編寫,電腦中要裝有JDK才能運行。
1. 配置說明
點擊Options—Advanced Options打開如下配置界面
在這里可以設置不掃描文件類型,設置遇到表單自動登錄,增加HTTP頭(Cookie……),
以及代理設置,超時鏈接設置,默認線程,字典,擴展名設置
有時間的小伙伴自己搗鼓搗鼓 ,這里不多說了
如果想過waf的話,這里需要改一下
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)
2. 掃描測試
本地搭建了一個Dede站,直接開擼,英文不好的同學會發現坑有點多。我英語20分,咳咳。。
以下是正確參數,御劍的字典直接拿來用
在第4步中也可以選擇純暴力破解模式,命中率不高,相比之下還是模糊測試好用些
上面有一個小錯誤,在第7步的時候,掃目標站下的目錄應該填寫/DedeCms5.7/{dir} 不知道細心的小伙伴發現了沒~
否則的話掃的就是127.0.0.1:8080下的目錄了
3. 掃描結果
這是本地掃描目錄列表,點擊TreeView可以自己查看目錄樹
工具下載地址:
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project