使用DirBuster寻找敏感文件和目录

已于 2023-05-31 14:32:51 修改
阅读量285 收藏 1
点赞数
文章标签: linux 网络安全 安全 运维
于 2023-05-31 14:24:58 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/qq_39308796/article/details/130967836
版权

目录

1. 概述

DirBuster, buster英[ˈbʌstə®] n. 破坏者;
程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。

DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录名和文件名的工具。
更加通俗的说法是:DirBuster就是用于探测web目录结构和隐藏的敏感文件。
将在本节中使用它来搜索特定的文件和目录列表。 要使用一个文本文件,其中包含要用DirBuster来查找的文件列表。创建一个包含以下内容的文本文件dir_dictionary.txt

2.实验前准备- 靶场-OWASP BWA

在VMware上打开OWASP_Broken_Web_App,打开后,如下图示,老师获得的靶场web地址是http://192.168.22.129,同学们参考自己获得的IP进行实验。
在这里插入图片描述

3. 爆破字典

最低0.47元/天 解锁文章
kali linux使用DirBuster寻找敏感文件目录
m0_64666945的博客
05-30 777
2. 然后切换到Intruder栏目下的Positions选项,你会看到很多被 § 包裹着的字段,并且它们是被高亮显示的,这些字段是Intruder在每次请求中都会更改的字段,单击Clear按钮清空所有被 § 包裹着的字段。4. 现在我们切换到Payload选项下,由于我们在第三步只设置了一个修改点,所以我们只需要根据默认配置生成一个攻击载荷列表即可,将攻击载荷的类型设置为simple list然后我们载入一个外部的攻击列表。
信息安全技术(使用DirBuster寻找敏感文件目录
m0_74164189的博客
06-26 386
代理用于隐藏用户的IP地址,爬行器用于从互联网中收集信息,而爬虫用于从网页中提取有用的信息。渗透测试(Penetration Testing)是一种针对计算机系统、网络或应用程序的安全评估方法,旨在模拟攻击者的攻击行为,发现系统漏洞并利用漏洞,以验证系统的安全性。DirBuster将自动使用字典中的单词短语进行攻击,并查找目标网站中的敏感文件目录。可以使用查找到的目录文件来进行后续的渗透测试漏洞利用。在DirBuster中,单击“目标”选项卡,然后在“URL”框中输入目标网站的URL。
在kali linux使用DirBuster寻找敏感文件目录
2201_76034619的博客
06-01 801
DirBuster, buster英[ˈbʌstə®] n. 破坏者;程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录文件名的工具。
Web使用DirBuster寻找敏感文件自录
jsgsys的博客
11-29 539
DirBuster是一款使用Java语言写的应用程序,它可以从Kali的主菜单或在终端使用dirbuster文件尝试不同的名称。这些名称可能位于与我们使用文件类似的文件中,也可能由Dirbuster使用Dirbuster是一种履带式粗暴式的混合物,它遵循它找到的页面中的所有链接,但也为可能的。确定文件是否存在,DirBuster使用服务器的响应代码。401未授权:访问此文件需要身份验证,对于需要登录的网页,服务器可能返回此响应。永久移动:请求的网页已永久移动到新位置,这是重定向到给定的URL。
DirBuster——寻找敏感文件目录
weixin_68246685的博客
05-30 569
DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录文件名的工具程序DirBuster使用Java编写。所有使用Java语言编写的程序要想正常使用,基本都需要安装JDK(JDK, Java Development Kit 实际上需要用的是JRE, Java Runtime Environment,但是JDK包含了JRE),并且要配置环境变量。DirBuster是一个多线程的应用程序,设计用于暴力破解Web 应用服务器上的目录文件名的工具。
Kali Linux Web渗透测试手册(第二版) - 3.1 - 使用DirBuster寻找敏感文件目录
weixin_30471561的博客
12-01 513
翻译来自:掣雷小组 成员信息: thr0cyte,Gr33k,花花,MrTools,R1ght0us,7089bAt, 这个公众号,一定要关注哦,慢慢会跟上面老哥们一起分享很多干货哦~~ 标记红色的部分为今日更新内容。 第三章、使用代理、爬行器爬虫 3.0、介绍 3.1、使用DirBuster寻找敏感文件目录 3.2、使用ZAP查找文件文件...
使用ZAP寻找敏感文件目录
2301_78117835的博客
10-26 433
代理是一个应用程序,充当客户端服务器之间的中介,或者为一个服务器组提供不同的服务。客户端从代理请求服务,代理能够将请求转发到适当的服务器并获取来自客户端的回复。当我们将浏览器使用ZAP作为代理时,并且ZAP正在监听时,它不会直接发送请求到我们想要浏览网页的服务器,而是发送到我们定义的地址。然后ZAP将请求转发给服务器,但我们发送的是没有注册分析过的信息。ZAP的强制浏览与DirBuster的工作方式相同;我们需要配置相应的字典,并向服务器发送请求,就像它试图浏览列表中的文件一样。
深入剖析 Linux 进程的睡眠与唤醒机制
Cheese_Y的博客
05-13 963
Linux 进程的睡眠与唤醒机制是操作系统实现高效资源管理任务调度的基石。从基本概念到实现机制,再到实际应用与调试,这一机制贯穿于系统运行的各个环节。深入理解并熟练掌握这一机制,不仅有助于优化系统性能,还能在面对进程阻塞、资源争用等问题时快速定位解决问题。随着 Linux 内核的不断演进,睡眠与唤醒机制也在持续优化,以适应日益复杂的应用场景硬件环境。以上详细阐述了 Linux 进程睡眠唤醒的相关内容。若你对其中某部分还想深入了解,或有其他技术方向想探讨,欢迎随时我说。
Linux干货(三)
2501_91732643的博客
05-14 865
从B站黑马程序员Linux课程摘选的学习干货,新手友好!若有侵权,会第一时间处理。目录前言1.which find命令1.which命令2.find命令2.grep wc 管道符1.grep命令2.wc命令3.管道符3.echo tail 重定向符1.echo命令2.`反引号符3.重定向符4.tail命令4.vi编译器1.vi/vim编辑器2.基础命令3.运行模式1.命令模式2.输出模式3.底线命令模式。
Linux sysvinit 系统启动
求变,从思想开始
05-12 625
智能座舱,车机仪表系统
Linux补充之vscode连接远端主机
最新发布
lll_666666的博客
05-16 144
Linux补充之vscode如何连接远端主机
Linux动态库静态库总结
shellching的专栏
05-13 334
如:gcc main.cpp -L. -Wl,-Bdynamic -lmydynlib -Wl,-Bstatic -lmystclib -Wl,-Bdynamic。g++ main.cpp -o app -L/path/to/libs -l:mylib.a # 显式指定静态库文件名。静态链接 g++ main.cpp -o app_static -L/home/user/libs -lmath。如果同时存在同名静态库(.a)动态库(.so),链接器会优先选择动态库(除非显式指定使用静态库)。
private String tempUrl = “./Temp“; 再linuxwindows下是否都有效
日常笔记 | 干货分享 | 毕设源码 | 毕设指导 | 答辩指导
05-14 191
private String tempUrl = "./Temp"; 再linuxwindows下是否都有效
Linux 〗类 Shell 命令行模拟程序开发
weixin_72040293的博客
05-16 729
代码实现简易shell,含交互、解析、执行等核心流程。
Linux `find` 指令终极指南
独坐一隅,凝神遐想,是种幸福! ——独隅
05-13 690
本文详细介绍了Linux中find指令的使用方法,涵盖了其核心功能、常用选项、执行操作、高级技巧以及企业级应用场景。find指令能够根据文件名、类型、大小、时间等条件搜索文件,并支持批量操作复杂查询。文章还提供了性能优化建议、故障排查指南以及与其他搜索工具的对比。最佳实践建议包括备份重要文件、处理含空格文件名以及定期清理。通过本指南,用户可以高效管理文件资源,实现自动化维护,并规避数据丢失风险。
Linux实现临时RAM登录的方法汇总
爱酷码的博客
05-14 316
Linux系统提供了多种实现临时RAM登录的方法,适用于不同场景。主要方案包括:1) 通过Live USB启动,系统完全运行于内存中;2) 使用内存文件系统tmpfs挂载临时目录;3) 创建受限用户并绑定到临时HOME目录;4) 在图形界面下创建临时X会话;5) 利用Systemd创建临时用户空间。这些方法均可实现登录后数据自动清理,适用于短期测试、隐私保护等场景。实施时需注意内存分配,建议基础系统至少512MB,用户空间2GB以上。可通过组合多种方案增强隔离性,同时建议监控内存使用并设置定时清理任务以确保
瑞芯微Linux_SDK框开发环境搭建
tianpu2320959696的博客
05-16 438
提取出rootfs.img镜像以后,将rootfs.img镜像移动到SDK目录下与配置文件对应的ubuntu20.04或ubuntu22.04目录中,并将解包的系统镜像的名称重命名为ubuntu-(SOC型号)-(桌面版本)-rootfs.img,如ubuntu-rk3588-gnome-rootfs.img。刚刚构建生成的rk3588的rootfs镜像为ubuntu/ubuntu-rk3588-gnome-rootfs.img,这个镜像还会被软链接到rockdev/rootfs.img用于系统镜像打包。
Web系统安全:深度解析文件目录测试
在Web系统安全性测试中,文件目录测试是一项关键环节,其目的是确保服务器上的文件目录结构不会泄露敏感信息,同时防止恶意攻击者利用这些漏洞进行非法操作。以下是关于这一主题的详细说明: 1) 目录列表测试:...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值