渗透测试利器之DirBuster

二叶草
二叶草
二叶草
1214
文章
0
评论
2020年3月25日19:04:55 评论 528

设立2020目标的时候有一项是建立一支onshore的渗透测试力量。所以我决心自己先摸索起来。所谓工欲善其事,必先利其器,从今天开始我打算开启一个新的系列认识一些渗透测试的工具,今天我们会一起了解一下DirBuster。

渗透测试利器之DirBuster

在开始之前,我想有必要就渗透测试聊几句。渗透测试有两种写法pentesting,或者全称penetration testing,从全称可以看出渗透测试不是考钢笔(pen)就能完成的。

渗透测试根据测试团队拥有的对被测试应用的知识,可以分为黑盒,白盒和灰盒测试。黑盒是指测试团队除了应用的入口地址外,没有关于目标应用程序的任何知识;白盒表示团队拥有目标、基础架构、软件版本、测试用例甚至源代码等一切知识;灰盒是介于黑盒和白盒中之间的状态。
对于黑盒和灰盒测试,测试团队在信息收集阶段需要通过各种扫描工具初步了解被测系统。在此阶段测试团队需要浏览web页面中包含的每个链接,并记录它所显示的每个文件。有一些工具可以帮助我们自动化和加速这项任务。它们被称为网络爬虫或网络蜘蛛。这些工具根据外部文件的所有链接和引用浏览web页面,有时填写表单并将其发送到服务器,保存所有请求和响应,并为我们提供脱机分析它们的机会,并最终发现潜在的渗透目标。

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。它原来是OWASP的一个项目。但刚才我去站内已经找不到它的主页了。不过你可以从sourceforge上下载它

下载DirBuster最新版本,解压后windows双击DirBuster-1.0-RC1.jar或DirBuster-1.0-RC1.bat启动软件(Linux用户在命令行运行./DirBuster-1.0-RC1.sh,若脚本无执行权限使用chmod + x ./DirBuster-1.0-RC1.sh添加权限)

渗透测试利器之DirBuster

2、启动DirBuster后,主界面如下:

渗透测试利器之DirBuster

在Target URL内输入待爆破的URL(格式如http://www.baidu。com),选择线程数,使用List模式并点击Browse加载字典文件。

渗透测试利器之DirBuster

作为演示我用baidu试验了一下,但是我赶着发帖没有时间等它完成了,所以没有什么了不起的发现——也是因为百度做的还不错。

DirBuster既然可以作为渗透测试的工具,自然也可作为黑客或者脚本小子的工具,所以在最后我要再次引用一下菩提老祖的话:"我知你此去定生不良,只是万万莫提我的名字……”

本文来源于:渗透测试利器之DirBuster-变化吧门户
特别声明:以上文章内容仅代表作者本人观点,不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
二叶草
渗透测试实用工具 渗透

渗透测试实用工具

 工具概述 1、新增批量修改文件夹文件后缀功能,并重新排列工具,更加详细使用 2、新增文件夹监控功能,监控python tool.py -monitor C: 3、新增将包含rgb值的txt...
简谈渗透测试各阶段我常用的那些“神器” 渗透

简谈渗透测试各阶段我常用的那些“神器”

 前言 本人所有文章都很用心的写作完成,并时常总结如何分享更有用的东西给朋友们。这篇更是如此,晚上准备到凌晨四点开始写作,为了需要的朋友而写,不喜欢的右上角点叉不要像上次文章一样在下面喷粪逼我骂你,另...
内网渗透工具- Intranet-Penetration 渗透

内网渗透工具- Intranet-Penetration

 整理一些常用的内外网渗透测试工具 PHPoxy 通过PHP脚本运行一个可以访问内网机器的Web代理。 SocksCap  socks5代理客户端 XX-Net    科学上网利器 phpsocks5...