大家好,又见面了,我是你们的朋友全栈君。
工具是kali自带,多用于网站的后台扫描
工具路径:/usr/share/dirbuster
cd /usr/share/dirbuster进入路径后ls查看,会看到目录下的jar文件:2. java -jar DirBuster-1.0-RC1.jar 打开jar文件
3. 出现可视化窗口,配置很多,现在我们先填写空白的输入框部分,这里我们在第一个输入框填写扫描网站的url地址
4. 第二个输入框是使用字典,我们点击browse按钮查找
出现字典的查找路径,进入第二个
默认自带的字典如下,这里为了快速演示选择了一个轻量级的字典
配置好后会显示如下
5. 我们点击url fuzz
6. 最下方的输入框追加上{dir}
7. 开始扫描
8. 进入扫描窗口,我们点击第二个查看
9. 从response响应上来看,返回值200的路径应该是可以访问的,第一个是/本目录可以忽略,第二个/wp-content/可以直接追加上试一试
发现是空白页面,排除,继续往下看,发现返回302的几个字典名称为/login和/admin,这几个是常用的网站后台路径,所以也输入尝试一下
这里我的确输入了login,但url自动跳转到后台的登录页面了,接下来用admin试试,发现也可以
经过测试发现,返回值为302的这几个路径都是可以直接访问到后台登录界面的当然这样扫描速度是比较慢的,届时记得把线程调大一些版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
发布者:全栈程序员-用户IM,转载请注明出处:https://javaforall.cn/213510.html原文链接:https://javaforall.cn