5个最好的Linux目录突发工具

操作系统 2024-03-20 大鱼 手机阅读

在每个Web应用程序pentest的侦察阶段,找到应用程序上可能的目录是至关重要的。这些目录可能包含重要的信息和发现,这将极大地帮助您发现应用程序中的漏洞并提高其安全性。

幸运的是,互联网上有一些工具可以使目录暴力强制更容易、自动化和更快。下面是Linux上的五个目录爆发工具,用于枚举Web应用程序上的隐藏目录。

什么是目录爆破?

目录爆发,也称为“目录暴力强制”,是一种用于道德黑客的技术,用于发现Web服务器或应用程序上隐藏的目录和文件。它涉及到通过猜测不同目录的名称或列举常见目录和文件名的列表来系统地尝试访问不同目录。

目录爆发的过程通常涉及使用自动化工具或脚本,将HTTP请求发送到Web服务器,尝试不同的目录和文件名,以查找没有明确链接或在网站导航或站点地图上广告的资源。

互联网上有数百种免费工具可用于目录爆发。以下是一些免费的工具,你可以在下一次渗透测试中使用:

1.DIRB

DIRB是一种流行的Linux命令行工具,用于扫描和强制Web应用程序上的目录。它根据网站URL从单词列表中列举可能的目录。

DIRB已经安装在Kali Linux上。但是,如果你没有安装它,没有什么可担心的。你只需要一个简单的命令来安装它。

对于基于Debian的发行版,请运行:

Sudo apt安装目录

对于非Debian Linux发行版,如Fedora和CentOS,执行:

sudo dnf install dirb

在Arch Linux上,运行:

耶-S迪尔布

如何使用DIRB来暴力目录

在Web应用程序上执行目录暴力强制的语法是:

目录[url][单词列表的路径]

比如说,如果你用暴力 5个最好的Linux目录突发工具-HowToTech 这将是命令:

迪尔布5个最好的Linux目录突发工具-HowToTech wordlist.txt

您也可以运行该命令而不指定单词列表。DIRB将使用其默认的单词列表文件common.txt来扫描网站。

迪尔布5个最好的Linux目录突发工具-HowToTech

2.迪尔巴斯特

Dirbuster与DIRB非常相似。与命令行工具DIRB不同,DirBuster有一个图形用户界面(GUI)。DIRB允许您根据自己的喜好配置目录Bruteforce扫描,并根据状态代码和其他感兴趣的参数过滤结果。

您还可以设置线程数,以确定您希望扫描运行的速度,以及您希望应用程序为您搜索的特定文件扩展名。

您所需要做的就是输入要扫描的目标URL、要使用的单词表、文件扩展名和线程数(可选),然后单击开始。

随着扫描的进行,DirBuster将在界面中显示发现的目录和文件。您可以看到每个请求的状态(例如,200 OK、404 Not Found)以及发现的项目的路径。您还可以将扫描结果保存到文件中以供进一步分析。这将有助于记录您的发现。

Dirbuster安装在Kali Linux上,但你可以很容易地在Ubuntu上安装Dirbuster。

3.戈巴斯特

Gobuster是一个用Go语言编写的命令行工具,用于暴力强制网站中的目录和文件,Open Amazon S3 bucket,DNS子域,目标Web服务器上的虚拟主机名,FTP服务器等。

要在Linux的Debian发行版(如Kali)上安装Gobster,请运行:

数多APT安装gobuster

对于RHEL系列的Linux发行版,运行;

sudo dnf install gobster

在Arch Linux上,运行:

耶-S轰动一时

或者,如果您已安装GO,请运行:

去安装www.example.com

如何使用Gobster

在Web应用程序中使用Gobster来强制目录的语法是:

Gobuster dir-u[url]-w[单词列表路径]

例如,如果您想在 5个最好的Linux目录突发工具-HowToTech 命令看起来像这样:

戈巴斯特迪乌 5个最好的Linux目录突发工具-HowToTech —w/usr.share/wordlist.txt

4.笨拙的

ffuf是一个非常快速的Web模糊器和目录暴力强制工具,用Go编写。它是非常通用的,特别是以其速度和易用性而闻名。

由于ffuf是用Go编写的,您需要在您的Linux PC上安装Go 1.16或更高版本。使用以下命令检查您的Go版本:

围棋版

要安装ffuf,请运行以下命令:

去安装www.example.com

或者你可以克隆github仓库并使用以下命令编译它:

git clone 5个最好的Linux目录突发工具-HowToTech ;cd ffuf;go get;go build

如何使用ffuf来强制目录

使用ffuf进行目录暴力强制的基本语法是:

ffuf—u [URL/FUZZ]—w [word list的路径]

例如,扫描 5个最好的Linux目录突发工具-HowToTech该命令将为:

富富乌 5个最好的Linux目录突发工具-HowToTech —w wordlist.txt

5.迪索

dirsearch是另一个用于枚举web应用程序上目录的强制命令行工具。它特别受欢迎,因为它的输出丰富多彩,尽管它是一个基于终端的应用程序。

您可以通过pip运行以下命令来安装目录搜索:

PIP安装目录搜索

或者,您可以通过运行以下操作来克隆GitHub存储库:

git clone 5个最好的Linux目录突发工具-HowToTech--深度1

如何使用dirsearch来暴力目录

使用目录搜索强制执行目录的基本语法是:

dirsearch—u [URL]

暴力目录 5个最好的Linux目录突发工具-HowToTech 所有你需要做的是:

目录搜索-u5个最好的Linux目录突发工具-HowToTech

使用工具自动执行网络安全中的任务

毫无疑问,这些工具将为您节省大量的时间,而您将花费手动尝试猜测这些目录。在网络安全领域,时间是一项宝贵的资产,这就是为什么每个专业人士都利用开源工具来优化他们的日常流程。

有成千上万的免费工具,特别是在Linux上,可以让你的工作更有效率,你所需要做的就是探索和选择适合你的工具!