kali DirBuster暴力破解web目录
2016-09-01 14:23
1201 查看
1、暴力破解目录工具原理
暴力破解web目录,一般是利用字典通过构造url来匹配web目录,成功则返回http代码200,大概说一下
2、为什么要破解web目录
当我们通过sql注入等方式得到网站的数据库时,由于后台一般是隐藏起来的,所以我们想要登陆后台的话,还是要手工或则以暴力破解的方式找到后台
3、kali DirBuster工具介绍(这个百度经验都有)以下为粘贴的:
简介:DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。
由于使用Java编写,电脑中要装有JDK才能运行。
1. 配置说明
点击Options—Advanced Options打开如下配置界面
在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),
以及代理设置,超时链接设置,默认线程,字典,扩展名设置
有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了
2. 扫描测试
本地搭建了一个Dede站,直接开撸
在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些
(坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~
否则的话扫的就是127.0.0.1:8080下的目录了
3. 扫描结果
这是本地扫描目录列表,点击TreeView可以自己查看目录树
0x 02 御剑
国内第一后台扫描神器
不用配置,填上网站,只需要点一下就够了,上图
5、遇见的问题,如何找到dirbuster的密码字典
使用dirbuster时,需要选择密码字典,开始使用时我也不知道在哪里使用
于是,终端输入:locate DirBuster
6、在密码字典处选择directory-list-1.0.txt,其实都可以试一试,我常用的就是这个,还是比较靠谱
暴力破解web目录,一般是利用字典通过构造url来匹配web目录,成功则返回http代码200,大概说一下
2、为什么要破解web目录
当我们通过sql注入等方式得到网站的数据库时,由于后台一般是隐藏起来的,所以我们想要登陆后台的话,还是要手工或则以暴力破解的方式找到后台
3、kali DirBuster工具介绍(这个百度经验都有)以下为粘贴的:
简介:DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。
由于使用Java编写,电脑中要装有JDK才能运行。
1. 配置说明
点击Options—Advanced Options打开如下配置界面
在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),
以及代理设置,超时链接设置,默认线程,字典,扩展名设置
有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了
2. 扫描测试
本地搭建了一个Dede站,直接开撸
在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些
(坏笑~)上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~
否则的话扫的就是127.0.0.1:8080下的目录了
3. 扫描结果
这是本地扫描目录列表,点击TreeView可以自己查看目录树
0x 02 御剑
国内第一后台扫描神器
不用配置,填上网站,只需要点一下就够了,上图
5、遇见的问题,如何找到dirbuster的密码字典
使用dirbuster时,需要选择密码字典,开始使用时我也不知道在哪里使用
于是,终端输入:locate DirBuster
6、在密码字典处选择directory-list-1.0.txt,其实都可以试一试,我常用的就是这个,还是比较靠谱
相关文章推荐
- Web暴力破解我用wvs fuzzer
- WEB中暴力破解
- 一个国内知名WEB OFFICE OCX控件的暴力破解,很详细
- web实战之暴力破解
- WEB中暴力破解
- IISscanner暴力破解IIS网站目录
- kali暴力破解教程
- 《11招玩转网络安全》之第三招:Web暴力破解-Low级别
- web安全与防御---4.第一次玩Burp Suite暴力破解
- WEB暴力破解--我用wvs fuzzer
- 『安全工具』目录扫描 DirBuster AND 御剑
- 使用hydra暴力破解web登录界面
- Microsoft Outlook WebAPP暴力破解脚本
- 一个比较完善的httpWebRequest 封装,适合网络爬取及暴力破解
- web服务端安全之暴力破解
- web常见攻击一——暴力破解(Brute Force)
- Python脚本暴力破解web登录
- 关于Intellij添加一个Web Resource Dir,添加一个发布的目录
- 暴力破解HTTP验证Web页面口令的强度