渗透测试利器之DirBuster

设立2020目标的时候有一项是建立一支onshore的渗透测试力量。所以我决心自己先摸索起来。所谓工欲善其事，必先利其器，从今天开始我打算开启一个新的系列认识一些渗透测试的工具，今天我们会一起了解一下DirBuster。

在开始之前，我想有必要就渗透测试聊几句。渗透测试有两种写法pentesting,或者全称penetration testing，从全称可以看出渗透测试不是考钢笔（pen)就能完成的。

渗透测试根据测试团队拥有的对被测试应用的知识，可以分为黑盒，白盒和灰盒测试。黑盒是指测试团队除了应用的入口地址外，没有关于目标应用程序的任何知识；白盒表示团队拥有目标、基础架构、软件版本、测试用例甚至源代码等一切知识；灰盒是介于黑盒和白盒中之间的状态。
对于黑盒和灰盒测试，测试团队在信息收集阶段需要通过各种扫描工具初步了解被测系统。在此阶段测试团队需要浏览web页面中包含的每个链接，并记录它所显示的每个文件。有一些工具可以帮助我们自动化和加速这项任务。它们被称为网络爬虫或网络蜘蛛。这些工具根据外部文件的所有链接和引用浏览web页面，有时填写表单并将其发送到服务器，保存所有请求和响应，并为我们提供脱机分析它们的机会，并最终发现潜在的渗透目标。

DirBuster是一个多线程的基于Java的应用程序设计用于暴力破解Web 应用服务器上的目录名和文件名的工具 。它原来是OWASP的一个项目。但刚才我去站内已经找不到它的主页了。不过你可以从sourceforge上下载它

下载DirBuster最新版本，解压后windows双击DirBuster-1.0-RC1.jar或DirBuster-1.0-RC1.bat启动软件（Linux用户在命令行运行./DirBuster-1.0-RC1.sh,若脚本无执行权限使用chmod + x ./DirBuster-1.0-RC1.sh添加权限）

2、启动DirBuster后，主界面如下：

在Target URL内输入待爆破的URL（格式如http://www.baidu。com）,选择线程数，使用List模式并点击Browse加载字典文件。

作为演示我用baidu试验了一下，但是我赶着发帖没有时间等它完成了，所以没有什么了不起的发现——也是因为百度做的还不错。

DirBuster既然可以作为渗透测试的工具，自然也可作为黑客或者脚本小子的工具，所以在最后我要再次引用一下菩提老祖的话:"我知你此去定生不良，只是万万莫提我的名字……”

本文来源于：渗透测试利器之DirBuster-变化吧门户
特别声明：以上文章内容仅代表作者本人观点，不代表变化吧门户观点或立场。如有关于作品内容、版权或其它问题请于作品发表后的30日内与变化吧联系。