DirBuster是一個多線程Java應用程序,旨在強制Web/應用程序服務器上的目錄和文件名。它可以選擇執行純暴力,在查詢隱藏文件和目錄方面非常好用。
1)安裝DirBuster
前提:電腦中必須安裝過java
下載地址:https://sourceforge.net/projects/dirbuster/
2)使用DirBuster
說明:
①:Target URL:輸入要探測網站的地址;需要注意的是這個地址要加上協議,看網站是http還是https。
②:Work Method:選擇工作方式;一個是get請求,一個是自動選擇。一般選auto switch的自動選擇,它會自行判斷是使用head方式或get方式。
③:Number of Thread:是選擇掃描線程數,一般為30。電腦配置好的可根據情況選擇。
④:select scanning type:是選擇掃描類型。list based brute force是使用字典掃描的意思,勾選上。隨后browse選擇字典文件,可用自己的,也可用dirbuster自己的。pure brute force是純暴力破解的意思。
⑤:select starting options:選項一個是standard start point(固定標准的名字去搜),一個是urlfuzz(相當於按關鍵字模糊搜索),選擇url fuzz,隨后在url tofuzz框中輸入{dir}即可。
注意:打開后,如果沒有看到 start 按鈕,請把窗口拉大,就可以看到了。
在第4步中也可以選擇純暴力破解模式,命中率不高,相比之下還是模糊測試好用些
(壞笑~)上面有一個小錯誤,在第7步的時候,掃目標站下的目錄應該填寫/DedeCms5.7/{dir} 不知道細心的小伙伴發現了沒~
否則的話掃的就是127.0.0.1:8080下的目錄了
3)掃描結果
