在kali linux里使用DirBuster寻找敏感文件和目录 |
您所在的位置:网站首页 › 用dos窗口查看电脑全部参数配置 › 在kali linux里使用DirBuster寻找敏感文件和目录 |
目录
1.概述2.实验前准备- 靶场-OWASP BWA3. 爆破字典准备4. 在kali linux中用图形界面打开dirbuster5. 在OWASP DirBuster中设置参数6. 查看Results选项卡,如下图示:6.1选项卡中的DIR6.2选项卡中的File6.3选项卡中的Response6.4选项卡中的Size6.5结果综述
7. 总结
1.概述
DirBuster, buster英[ˈbʌstə®] n. 破坏者; 程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。 DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。 更加通俗的说法是:DirBuster就是用于探测web目录结构和隐藏的敏感文件。 将在本节中使用它来搜索特定的文件和目录列表。 要使用一个文本文件,其中包含要用DirBuster来查找的文件列表。创建一个包含以下内容的文本文件dir_dictionary.txt 2.实验前准备- 靶场-OWASP BWA在VMware上打开OWASP_Broken_Web_App,打开后,如下图示,我获得的靶场web地址是http://192.168.17.130,可以参考自己获得的IP进行实验。 在kali linux的指定目录下新建dir_dictionary.txt并输入参数,操作如下:
![]() 文件 6.3选项卡中的Response这一列中的内容是数字,代表相应代码,不同的代码表示不同的含义,具体如下所示: 200 成功:文件存在。404 未找到:服务器中不存在该文件。301 永久移动:请求的网页已永久移动到新位置,这是重定向到给定的URL。302 临时移动:服务器目前从不同位置的网页响应请求。303 查看其他位置:请求者应当对不同的位置使用单独的GET请求来检索响应时,服务器返回此代码。401 未授权:访问此文件需要身份验证,对于需要登录的网页,服务器可能返回此响应。403 禁止:请求有效但服务器拒绝响应。500 服务器内部错误:服务器遇到错误,无法完成请求。 6.4选项卡中的Size表示文件夹或文件的大小 6.5结果综述我们的字典如下: info server-status server-info cgi-bin robots.txt phpmyadmin admin login 结果是根据字典中的内容找出来的目录或文件。 7. 总结 Dirbuster是一种履带式和粗暴式的混合物,它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与使用的文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。为确定文件是否存在,DirBuster使用服务器的响应代码。最常见的响应如下所示: dirb是Kali Linux中包含的cmmand-line工具,它还使用字典文件强制浏览服务器以识别现有文件和目录。要查看其语法和选项,请打开终端并输入#dirb命令。 |
CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |