kali DirBuster暴力破解web目录

1、暴力破解目录工具原理
暴力破解web目录，一般是利用字典通过构造url来匹配web目录，成功则返回http代码200，大概说一下
2、为什么要破解web目录
当我们通过sql注入等方式得到网站的数据库时，由于后台一般是隐藏起来的，所以我们想要登陆后台的话，还是要手工或则以暴力破解的方式找到后台
3、kali DirBuster工具介绍（这个百度经验都有）以下为粘贴的：

　简介：DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。

　　　　　　   由于使用Java编写，电脑中要装有JDK才能运行。

　　1. 配置说明

　　　　　　点击Options—Advanced Options打开如下配置界面

　　　　　　


　　　　　　在这里可以设置不扫描文件类型，设置遇到表单自动登录，增加HTTP头（Cookie……），

　　　　　　以及代理设置，超时链接设置，默认线程，字典，扩展名设置

　　　　　　有时间的小伙伴自己捣鼓捣鼓 ，这里不多说了

　　2. 扫描测试

　　　　本地搭建了一个Dede站，直接开撸

　　　　


　　　　在第4步中也可以选择纯暴力破解模式，命中率不高，相比之下还是模糊测试好用些

　　　　（坏笑~）上面有一个小错误，在第7步的时候，扫目标站下的目录应该填写/DedeCms5.7/{dir} 不知道细心的小伙伴发现了没~

　　　　否则的话扫的就是127.0.0.1：8080下的目录了

　　3. 扫描结果

　　　　这是本地扫描目录列表，点击TreeView可以自己查看目录树

　　　　


　　　　　　

0x 02 御剑

　　国内第一后台扫描神器

　　　　不用配置，填上网站，只需要点一下就够了，上图 

　　　　


5、遇见的问题，如何找到dirbuster的密码字典

使用dirbuster时，需要选择密码字典，开始使用时我也不知道在哪里使用

于是，终端输入：locate DirBuster



6、在密码字典处选择directory-list-1.0.txt,其实都可以试一试，我常用的就是这个，还是比较靠谱