在渗透中,我们需要得到网站web服务器的路劲。如管理员后台,站点的敏感文件如(站点备份、数据库备份)等等。在kali中有很多这样的优秀工具,本文将为你一一介绍。
01 GobusterGobuster 是一个开源工具,主要用于网站目录扫描和子域名收集。安装也很简单,只需执行下面命令即可!
代码语言:javascript代码运行次数:0运行复制apt-get install gobuster使用参数:
-u : –url 网站的域名或者IP-w : 用户自定义字典-x : 自定义文件类型如php jsp示例
代码语言:javascript代码运行次数:0运行复制gobuster dir -u http://192.168.0.106/bolt/ -w /usr/share/wordlists/dirb/big.txt -x php02 DIRBDIRB 是一个 Web 内容扫描器。它是 kali linux 内置的工具,通过对 Web 服务器发起基于字典的攻击并分析响应来工作,但请记住它是内容扫描器而不是漏洞扫描器。
使用也很简单,在DIRB后面直接加目标域名即可。
代码语言:javascript代码运行次数:0运行复制dirb https://bbskali.cn03 dirsearchDirsearch 是一个用 Python 编写的暴力扫描工具,用于查找隐藏的 Web 目录和文件。它可以在 Windows、Linux 和 macOS 上运行,而且终端界面配色也比较漂亮。
安装
dirsearch在kali中默认没有安装,我们只需执行下面命令进行安装。
代码语言:javascript代码运行次数:0运行复制apt-get install dirsearch使用
代码语言:javascript代码运行次数:0运行复制dirsearch -u https://bbskali.cnWfuzzWfuzz 在 Kali Linux内置的,因此我们可以通过在终端上键入wfuzz来启动它。
参数
-u : 目标网址
-w : 单词表
代码语言:javascript代码运行次数:0运行复制wfuzz -u https://bbskali.cn -w /usr/share/dirb/wordlists/common.txt --hc 400,404,40304 Metasploit利用metasploit 框架,我们也可以对网站目录进行扫描。
代码语言:javascript代码运行次数:0运行复制use auxiliary/scanner/http/dir_scanner
set rhosts bbskali.cn
set path secnhack/
set dictionary /usr/share/dirb/wordlists/common.txt
run05 DirBusterDirBuster 是kali自带的一款图形化工具。终端执行命令在其中提交目标详细信息,如下所示。
效果如下:
版权属于:逍遥子大表哥
本文链接:https://cloud.tencent.com/developer/article/2115753
按照知识共享署名-非商业性使用 4.0 国际协议进行许可,转载引用文章应遵循相同协议。
2025年十款热门网球拍手胶产品榜 精选网球拍手胶商品推荐
Google Play商店应用管理指南