使用Dirsearch探测Web目录 |
您所在的位置:网站首页 › web实现扫码功能是什么意思 › 使用Dirsearch探测Web目录 |
dirsearch介绍
dirsearch是一个基于python的命令行工具,用于暴力扫描页面结构,包括网页中的目录和文件。 dirsearch下载地址: https://github.com/maurosoria/dirsearch 运行环境:必须安装python3 系统支持WindowsXP/7/8/10 GNU/Linux MacOSX 为什么要使用dirsearch?当对目标网站渗透测试时,第一步应该是找到易受攻击网站的隐藏目录。 这些隐藏的Web目录非常重要,因为它们可以提供一些非常有用的信息,即在面向公众的网站上看不到的潜在攻击媒介。 比较快捷的攻击方法之一就是采用暴力猜解网站目录及结构,其中包括网站中的目录、备份文件、编辑器、后台等敏感目录,为此,需须选择一个功能强大的工具。 用python编写的Dirsearch是一个命令行网站目录扫描程序。它具有许多功能,使其成为性能方面的完全赢家: 它包括多线程,使其比任何其他站点扫描仪工具都快 它执行递归暴力破解 它具有HTTP代理支持 Dirsearch有效地检测到无效网页 它具有用户代理随机化和批处理功能 支持请求延迟 dirsearch实战使用windows7下使用为例: 将下载dirsearch解压缩后,进入dirsearch目录打开命令执行窗口。 python dirsearch.py -h 查看帮助菜单 扫描站点本地部署的dvwa为例:http://192.168.3.112:81/dvwa 使用-u 指定需要扫描URL 使用-e 指定需要扫描的文件名 例如:-e php 如果不知道即所有 -e * python dirsearch.py -u http://192.168.3.112:81/dvwa/ -e php 响应状态200敏感目录 排除不需要的状态码 不需要显示响应状态码为403响应 python dirsearch.py -u http://192.168.3.112:81/dvwa/ -e php -x 403 排除多个响应状态码:-x 403,302,301 指定自定义的扫描字典文件 -w 指定自定义的字典文件路径 执行递归目录扫描,发挥最佳功能 -r 递归扫描 非常耗时 在扫描时要退出扫描,请从键盘解析“e”。要从停止点继续执行,请解析“c"。解析“ n”以移至下一个目录。这些步骤将使您可以控制结果,因为递归扫描是一个耗时的过程。 -R 递归深度级别 如果要将递归级别设置为更深的值,则可以使用 -R 标志和要挖掘的深度级别的值。 总结 本文演示了如何使用有效的Web目录暴力破解工具Dirsearch来扫描和搜索用户可能看不到的隐藏Web目录。这是渗透测试中的第一个非常重要的任务,而Dirsearch的这项工作要比传统的Dirbuster和Dirb快得多。
|
今日新闻 |
推荐新闻 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |