目錄掃描-dirbuster
一、目錄掃描的作用
文件目錄
文件目錄是指:為實現“按名存取”,必須建立文件名與輔助空間中物理地址的對應關系體現這種對於關系的數據結構稱為文件目錄。
目錄掃描——信息收集的重要部分
目錄掃描可以桑我們看到這個網站存在多少目錄,多少頁面,探索出網站的整體結構。
通過目錄掃描我們還可以掃描敏感文件,后台文件,數據庫文件,和信息泄露文件,等等
二、常見的目錄信息泄露
-
目錄遍歷漏洞
目錄遍歷(路徑遍歷)是由web服務器或者web應用程序對用戶輸入的文件名稱的安全性驗證不足而導致的一種安全漏洞,使得攻擊者通過利用一些特殊字符就可以繞過服務器的安全限制,訪問任意的文件(可以是web根目錄以外的文件),甚至執行系統命令。
目錄遍歷漏洞原理
程序在實現上沒有充分過濾用戶輸入的../之類的目錄跳轉符,導致惡意用戶可以通過提交目錄跳轉來遍歷服務器上的任意文件 -
敏感信息泄露
由於后台人員的疏忽或者不當的設計,導致不應該被前端用戶看到的數據被輕易的訪問到
比如:
- 通過訪問url下的目錄,可以直接列出目錄下的文件列表
- 輸入錯誤的url參數后報錯信息里面包含操作系統,中間件,開發語言的版本或其他信息(SQL注入)
- 前端的源碼(html,css,js)里面包含了銘感信息,比如后台登錄地址,內網接口信息,甚至賬號密碼等;
三、常見的源碼泄露案例
目錄遍歷
當沒有默認網頁時,在網站上顯示web服務器顯示用戶列表中的文件和目錄。因此,在apache服務器上面默認文件名為index.php,當沒有上傳index.php時,服務器就會將文件夾中的內容全部展示出來。
案例
攻擊者瀏覽目錄並訪問web應用程序的源代碼,備份和可能的數據庫文件。
目錄掃描方式
- robots.txt
網站內的robots文件:https://www.baidu.com/robots.txt - 目錄爆破
御劍 nikto dirbuster Webdirscan - 第三方資源引用
JS SDK
四、目錄掃描工具-dirbuster
工具說明
Owasp項目
DirBuster是一個多線程的基於Java的應用程序設計用於暴力破解Web應用服務器上的目錄名和文件名的工具。
它是如何工作的
Dirbuster是一種履帶式和粗暴式的混合物;它遵循它找到的頁面中的所有鏈接,但也為可能的文件嘗試不同的名稱。這些名稱可能位於與我們使用的文件類似的文件中,也可能由Dirbuster使用Pure Brute Force選項自動生成,並設置字符集以及生成的單詞的最小和最大長度。
為確定文件是否存在,DirBuster使用服務器的響應代碼。最常見的響應如下所示:
- 200ok:文件存在
- 404找不到404文件:服務器中不存在該文件
- 301301永久移動:這是重定向到給定的URL
- 401 Unauthorized:訪問此文件需要身份驗證
- 403 Forbidden:請求有效但服務器拒絕響應
DirBuster,他是用來探測web目錄結構和隱藏的敏感文件的
環境配置
使用需求
DirBuster是基於Java的應用程序需要jre環境
java環境下載:http://www.java.com.zh_CN/
安裝過程中一定要勾選"add to path"(添加環境變量)
DirBuster下載地址:http://sourceforge.net/projects/dirbuster/files/
安裝
windows雙擊DirBuster.jar啟動軟件(Linux用戶在命令行運行./DirBuster-1.0-RC1.sh,若腳本無權限使用chmod+x./DirBuster-1.0-RC1.sh添加權限)
具體操作步驟如下:
- url設置;
- 線程數設置;
- 選擇爆破字典;
- 取消選擇遞歸查詢;
- 開始運行
爆破字典默認位置(選擇相應工具的爆破字典即可)
root@kali:/usr/share/wordlists# ls
dirb fasttrack.txt metasploit rockyou.txt.gz
dirbuster fern-wifi nmap.lst wfuzz