DirBuster使用介绍
最近在做和华为合作的项目,由于华为对安全层面要求比较高,要求对敏感接口进行遍历,查看业务系统是否存在对外开放的敏感接口或者对接口进行权限控制,以及对目录列表进行测试确保所有的目录访问均不能打印文件列表,要求用DirBuster渗透工具,以此做个记录
工具介绍
- DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具; 主要用来探测web目录结构和隐藏文件.
- 扫描Web目录,可以发现潜在的渗透目标。不同于网站爬虫,使用字典方式可以发现网站没有关联的网页。Kali Linux提供一款基于字典的Web目录扫描工具DIRB。该工具根据用户提供的字典,对目标网站目录进行暴力猜测。它会尝试以递归方式进行爆破,以发现更多的路径。同时,该工具支持代理、HTTP认证扫描限制访问的网站。该工具还提供两个命令,帮助用户从网页生成字典,或者生成定制字典
环境配置
DirBuster需要jre环境,
直接安装java环境jre和jdk就都包含了,环境配置自行Google;
DirBuster下载地址: 点击获取安装包;
百度云获取地址:点击获取安装包 提取码:ejrv
使用方法/步骤
- 下载DirBuster最新版本,解压后windows双击DirBuster.jar或DirBuster-1.0-RC1.bat启动软件(Linux用户在命令行运行./DirBuster-1.0-RC1.sh,若脚本无执行权限使用chmod
+ x ./DirBuster-1.0-RC1.sh添加权限),或者直接在kali中打开自带的DirBuster(命令:root@kali:~#
dirbuster)
- 双击启动DirBuser后,主页面配置大致介绍如下:
字典分享:点此获取字典
也可以根据个人实际情况自行编写自定义接口文件路径到TXT文档,然后导入字典
线程数那里别别设置的太大,根据自己实际情况而定,此操作类似于疲劳压测,比较吃电脑CPU容易卡死
如果你扫描的目标是http://www.xxx.com/admin/,那么就要在URL to fuzz里填写"/admin/{dir}",意思是在"{dir}“的前后可以随意拼接你想要的目录或者后缀,例如输入”: /admin/{dir}.php"就表示扫描admin目录下的所有php文件。
- 配置完成后点击start即可开始运行
结果分析鉴定
Dirbuster是一种履带式和粗暴式的混合物; 它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与我们使用的文件类似的文件中,也可能由Dirbuster使用Pure Brute Force选项自动生成,并设置字符集以及生成的单词的最小和最大长度。
为确定文件是否存在,DirBuster使用服务器的响应代码。最常见的响应如下所示:
- 200 ok:文件存在;
- 404找不到404文件:服务器中不存在该文件;
- 301 301永久移动:这是重定向到给定的URL;
- 401 Unauthorized:访问此文件需要身份验证;
- 403 Forbidden:请求有效但服务器拒绝响应。
我们可以依次右击Response值为200的行,在出现的菜单中点击Open In
Browser,以此逐一分析结果
