信息收集----目录收集

作者:黎明 | 发布时间: | 更新时间:

目录收集

 
什么是网站目录? 网站目录是指网站为了方便浏览者或者管理者好区分而做的分类。网站的目录是网站的基本结构之一。一个网站的目录分类的好对整个网站的浏览有很大的帮助。
 
为什么扫描目录? (1)寻找到网站后台管理 (2)寻找未授权漏洞 (3)寻找网站更多隐藏信息如目录遍历、敏感文件,后台文件,数据库文件,和信息泄漏文件等 (4)通过使用目录扫描可以让我们发现这个网站存在多少个目录,多少个页面,探索出网站的整体结构。
 

目录爆破工具原理

 
1.爆破 目录扫描最常见的就是通过一个字典进行爆破,字典的精准度决定了你扫描的完整度。 爆破的好处是能让我们发现一些隐藏页面,比如网站测试页面,隐藏的后台页面等等。
 
2.爬虫 爬虫就是通过一个网页源代码找存在的路径,然后递归爬取下一个页面,爬虫好处呢就是能爬取全部我们能访问的页面,但缺点就是没有链接到页面的隐藏页面没法获取。
 
 

目录爆破常见问题

1.爆破可能会触发网站防火墙拦截规则,造成lP封禁。 2.waf会对网站爆破攻击行为进行拦截

常用工具

1.dirseach

 
7fff9c91ab124321
dirseach安装
kali下的安装: git clone https://github.com/maurosoria/dirsearch cd dirsearch/ Windows下安装: GitHub的下载地址为:https://github.com/maurosoria/dirsearch
 
dirseach使用
注:dirsearch程序必须使用python3以上才能运行 使用python.exe dirsearch.py -h可以查看到各种命令 以我本机靶场为例: 常用:python dirsearch.py -u http://127.0.0.1/pikachu
d2b5ca33bd124333
dirsearch命令

此处内容已隐藏,请评论后刷新页面查看.

 
 

2.御剑后台扫描工具

御剑后台扫描工具,一个经典的目录扫描工具,就是基于字典精准度,只要你随时更新御剑字典,扫描效果还是杠杠的 使用也超级简单直接输入地址就行
 
 
4bb30b2653124412
标签:信息收集