安全测试|DirBuster扫描神器

📅 2026/7/14 14:33:29
安全测试|DirBuster扫描神器
DirBuster是一个多线程的基于Java的应用程序主要用于暴力破解Web应用服务器上的目录名和文件名。DirBuster被设计用于探测web目录结构和隐藏的敏感文件。1环境配置与安装java环境变量配置JDK环境 变量名 变量值 Java_Home D:\Program Files\Java\jdk1.8.0_91 #新建变量 Path %Java_Home%\bin;%Java_Home%\jre\bin; #找到path变量加入一条变量值 CLASSPATH .;%Java_Home%\bin;%Java_Home%\lib\dt.jar;%Java_Home%\lib\tools.jar #新建变量Dirbuster安装​​​​​​​windows 在解压目录下找到并双击DirBuster.jar启动软 Linux 第一步 将解压好的安装包放入linux目录 第二步 Linux用户在目录下开启终端命令行运行./DirBuster-1.0-RC1.sh 第三步 若脚本无执行权限使用chmod x ./DirBuster-1.0-RC1.sh添加权限界面功能中文注释2使用教程1)出现可视化窗口配置很多现在我们先填写空白的输入框部分这里我们在第一个输入框填写扫描网站的url地址2)出现字典的查找路径进入第二个3)这里为了方便选择了一个轻量级的字典4)我们点击url fuzz最下方的输入框追加上{dir}5)最后我们点击开始扫描6)进入扫描窗口我们点击第二个查看7)从response响应上来看返回值200的路径应该是可以访问的第一个是/本目录可以忽略第二个/wp-content/可以直接追加上试一试8)发现是空白页面排除继续往下看发现返回302的几个字典名称为/login和/admin这几个是常用的网站后台路径所以也输入尝试一下网站后台扫描工具都是利用后台目录字典进行爆破扫描字典越多扫描到的结果也越多。3结果分析Dirbuster是一种履带式和粗暴式的混合物; 它遵循它找到的页面中的所有链接但也为可能的文件尝试不同的名称。这些名称可能位于与我们使用的文件类似的文件中也可能由Dirbuster使用Pure Brute Force选项自动生成并设置字符集以及生成的单词的最小和最大长度。为确定文件是否存在DirBuster使用服务器的响应代码最常见的响应如下所示200 ok文件存在;404找不到404文件服务器中不存在该文件;301 301永久移动这是重定向到给定的URL;401 Unauthorized:访问此文件需要身份验证;403 Forbidden请求有效但服务器拒绝响应。