WEB 渗透测试工具dirbuster的使用方法

扫描Web目录，可以发现潜在的渗透目标。不同于网站爬虫，使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典，对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破，以发现更多的路径。同时，该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令，帮助用户从网页生成字典，或者生成定制字典。

DirBuster是一个多线程的基于Java的应用程序设计蛮力Web /应用服务器上的目录和文件名 。

DirBuster是Owasp(Open Web Application Security Project )开发的一款专门用于探测网站目录和文件(包括隐藏文件)的工具。由于使用Java编写，电脑中要装有JDK才能运行。

1.出现可视化窗口，配置很多，现在我们先填写空白的输入框部分，这里我们在第一个输入框填写扫描网站的url地址 2.出现字典的查找路径，进入第二个 3.为了快速演示选择了一个轻量级的字典

4.我们点击url fuzz 最下方的输入框追加上{dir} 5.最后我们点击开始扫描 6.进入扫描窗口，我们点击第二个查看 7.从response响应上来看，返回值200的路径应该是可以访问的，第一个是/本目录可以忽略，第二个/wp-content/可以直接追加上试一试 8.发现是空白页面，排除，继续往下看，发现返回302的几个字典名称为/login和/admin，这几个是常用的网站后台路径，所以也输入尝试一下

网站后台扫描工具都是利用后台目录字典进行爆破扫描，字典越多，扫描到的结果也越多。常用的网站后台扫描工具wwwscan、御剑、dirbuster和cansina，不管哪个工具，要想扫描到更多的东西，都必须要有一个强大的目录字典！