Kali Linux 目录扫描 Dirbuster

注意本资料只适用学习研究,禁止进行非授权活动。请熟读网络安全法条规

Lali Linux 系列第四篇信息收集第四章 目录扫描 Dirbuster

目录扫描的作用

文件目录

文件目录是指:为实现 “按名存取”,必须建立文件名与辅存空间中物理地址的对应关系,体现这种对应关系的数据结构称为文件目录。

目录扫描

目录扫描可以让我们发现这个网站存在多少个目录,多少个页面,探索出网站的整体结构。

通过目录扫描我们还可以扫描敏感文件,后台文件,数据文件,和信息泄露文件等等

目录扫描是信息收集技术的重要部分

常见的目录信息泄露

目录遍历漏洞

目录遍历(路径遍历)是由于 Web 服务器或者 Web 应用程序对用户输入的文件名称的安全验证不足而导致的一种安全漏洞,使得攻击者可以通过利用一些特殊字符就可以绕过服务器的安全限制,访问任意的文件(可以使 Web 根目录以外的文件),甚至执行系统命令。

目录遍历漏洞原理

程序在实现上没有充分过滤用户输入的 ../ 之类的目录跳转符,导致恶意用户可以通过提交目录跳转来遍历服务器上的任意文件。

敏感信息泄露

由于后台人员的疏忽或者不当的设计,导致不应该被前端用户看到的数据被轻易访问到

例如

  • 通过访问 url 下的目录,直接可以列出目录下的文件列表;
  • 输入错误的 url 参数后报错信息里面包含操作系统、中间件、开发语言的版本或者其他信息(SQL 注入);
  • 前端的源码(html 、Css 、Js)里面包含了敏感信息,比如后台登录地址、内网接口信息、甚至账户密码等;

常见的源码泄露案例

目录遍历

当没有默认网页时,在网站上显示 WEB 服务器显示用户列表中的文件和目录,在 apahce 服务器上面默认文化名为 Index.php,当没有上传 index.php 时,服务器就会将文件夹中的内容全部展示出来。

实例

攻击者浏览目录并访问 Web 应用程序的源代码,备份和可能的数据库文件。

源码泄露案例链接

Git 源码泄露

漏洞成因
在允许 Git init 初始化代码库的时候,会在当前目录下面产生一个 Git 的隐藏文件,用来记录代码的变更记录等。在发布代码的时候,把这个 Git 目录没有删除,直接发布了。使用这个文件,可以用来回复源代码。

漏洞利用

工具:GitHack

DS_Store 文件泄露

漏洞成因

在发布代码时未删除文件夹中隐藏的 DS_Store,被发现后,获取了敏感的文件名等信息。

漏洞利用

实例网址

网站备份压缩文件

在网站的使用过程中,往往需要对网站中的文件进行修改、升级。此时就需要对网站整站或者某一页面进行备份。当备份文件或者修改过程中的缓存文件因为各种原因而被留在网站 Web 目录下,该目录又没有设置访问权限时,便有可能导致备份文件或者编辑器的缓存文件被下载,导致敏感信息泄露,给服务器的安全埋下隐患。

该漏洞的成因主要有以下两种

  • 服务器管理员错误的将网站或者网页备份文件放置到服务器 Web 目录下
  • 编辑器在使用过程中自动保存的备份文件或者临时文件因为各种原因没有被删除而保存在 Web 目录下。

常见的目录扫描方式

  • Robots.txt

网站内的 Robtos 文件

  • 目录爆破

御剑

Nikto

Dirbuster (推荐)

Webdirscan

自制字典

等工具

都是通过字典、枚举进行爆破

  • 第三方资源引用

JS

外部链接

内部链接

SDK (第三方软件开发工具包)

目录扫描工具 - Dirbuster

工具说明

Owasp 项目

DirBuster 是一个多线程的基于 Java 的应用程序设计用于暴力破解 Web 应用服务器上的目录名和文件的工具

工作原理

DirBuster 是一种履带式(遍历)和粗暴式(爆破)的混合物;

它遵循它找到的页面中的所有链接,但也为可能的文件尝试不同的名称。这些名称可能位于与我们使用的文件类型的文件中,也可能由 Dirbuster 使用 Pure Brute Force 选项自动生成(暴力破解),并设置字符集以及生成的单词的最小和最大长度(撞库字典)。

为确定文件是否存在,DirBuster 使用服务器的响应代码。最常见的响应如下:

  • 200 ok :文件存在
  • 404 找不到 404 文件 :服务器中不存在该文件
  • 301 301永久移动 :这是重定向到给定的 URL
  • 302 302永久移动 :这是重定向到给定的 URL
  • 401 Unauthorized :访问此文件需要身份验证
  • 403 Forbidden :请求有效但服务器拒绝响应
  • 5 开头表示服务器存在问题

DirBuster,它是用来探测 Web 目录结构和隐藏的敏感文件的

环境配置

使用需求

DirBuster 是基于 Java 的应用程序需要 Jre 环境

Java环境下载:加载器

安装过程中一定要勾选 "add to path" (添加环境变量)

DirBuster 下载地址:下载地址

安装

Windows 双击 DirBuster.jar 启动软件

Linux 用户在命令行运行:./DirBustet-1.0-RC1.sh

Linux 若脚本无执行权限使用:chmod + x./Dirbuster-1.0-RC1.sh 添加权限

工具使用介绍:

DirBustet

具体操作步骤

  • URL 设置
  • 线程数设置
  • 选择爆破字典
  • 取消选择递归查询
  • 开始运行

其他

如果你担心工具有病毒可以采用腾讯的一些工具进行检测

腾讯检测工具链接:链接
SHODAN :摄像头监控工具