epi052/feroxbuster

## 到底什么是 ferox？ Ferox 是 Ferric Oxide 的缩写。简单来说，Ferric Oxide 就是铁锈。因为这个名字已经被占用，所以我决定采用一个 变体。 ## 这是用来做什么的？ `feroxbuster` 是一个用于执行 [强制浏览](https://owasp.org/www-community/attacks/Forced_browsing) 的工具。 强制浏览是一种攻击方式，其目标是枚举并访问那些未被 Web 应用程序引用、但攻击者仍可访问的资源。 `feroxbuster` 使用暴力破解结合字典文件来搜索目标目录中未链接的内容。这些资源可能存储有关 Web 应用程序和操作系统敏感信息，例如源代码、凭证、内部网络地址等…… 这种攻击也被称为可预测资源定位、文件枚举、目录枚举和资源枚举。 ## 快速开始 本节将介绍运行 feroxbuster 所需的最少信息。请参考 [文档](https://epi052.github.io/feroxbuster-docs/overview/)，因为它更加全面。 ### 安装 有多种 [安装方法](https://epi052.github.io/feroxbuster-docs/installation/android/)，但以下代码片段适用于大多数用户。 #### Kali 如果你使用的是 Kali，这是首选的安装方式。从软件源安装会在 `/etc/feroxbuster/` 添加一个 [**ferox-config.toml**](https://epi052.github.io/feroxbuster-docs/configuration/ferox-config-toml/)，为 bash、fish 和 zsh 添加命令补全，包含手册页条目，并安装 `feroxbuster` 自身。 ``` sudo apt update && sudo apt install -y feroxbuster ``` #### Linux（32 位和 64 位）与 MacOS 安装到指定目录 ``` curl -sL https://raw.githubusercontent.com/epi052/feroxbuster/main/install-nix.sh | bash -s $HOME/.local/bin ``` 安装到当前工作目录 ``` curl -sL https://raw.githubusercontent.com/epi052/feroxbuster/main/install-nix.sh | bash ``` #### 通过 Homebrew 安装 MacOS ``` brew install feroxbuster ``` #### Windows x86_64 ``` Invoke-WebRequest https://github.com/epi052/feroxbuster/releases/latest/download/x86_64-windows-feroxbuster.exe.zip -OutFile feroxbuster.zip Expand-Archive .\feroxbuster.zip .\feroxbuster\feroxbuster.exe -V ``` #### 通过 Winget 安装 Windows ``` winget install epi052.feroxbuster ``` #### 通过 Chocolatey 安装 Windows ``` choco install feroxbuster ``` #### 其他所有系统 请参考 [文档](https://epi052.github.io/feroxbuster-docs/overview)。 ### 更新 feroxbuster（v2.9.1 中新增） ``` ./feroxbuster --update ``` ## 示例用法 以下是一些快速示例，帮助你入门。请注意，feroxbuster 的功能远不止下面列出的这些。因此，在 [文档](https://epi052.github.io/feroxbuster-docs/overview) 中还有更多示例以及展示特定功能的 [演示动图](https://epi052.github.io/feroxbuster-docs/overview)。 ### 多值参数 接受多个值的参数非常灵活。请考虑以下指定扩展名的不同方式： ``` ./feroxbuster -u http://127.1 -x pdf -x js,html -x php txt json,docx ``` 上述命令会将 .pdf、.js、.html、.php、.txt、.json 和 .docx 添加到每个 URL。 以上所有方法（多个标志、空格分隔、逗号分隔等……）都是有效且可互换的。URL、标头、状态码、查询和大小过滤器也是如此。 ### 包含标头 ``` ./feroxbuster -u http://127.1 -H Accept:application/json "Authorization: Bearer {token}" ``` ### IPv6、非递归扫描并启用 INFO 级别日志 ``` ./feroxbuster -u http://[::1] --no-recursion -vv ``` ### 从 STDIN 读取 URL；仅将结果 URL 管道到其他工具 ``` cat targets | ./feroxbuster --stdin --silent -s 200 301 302 --redirects -x js | fff -s 200 -o js-files ``` ### 通过 Burp 代理流量 ``` ./feroxbuster -u http://127.1 --insecure --proxy http://127.0.0.1:8080 ``` ### 通过 SOCKS 代理代理流量（包括 DNS 查询） ``` ./feroxbuster -u http://127.1 --proxy socks5h://127.0.0.1:9050 ``` ### 通过查询参数传递身份验证令牌 ``` ./feroxbuster -u http://127.1 --query token=0123456789ABCDEF ``` ### 使用 --data-json 和 --data-urlencoded 自动设置 Content-Type ``` ./feroxbuster -u http://127.1 --data-json '{"some": "payload"}' ./feroxbuster -u http://127.1 --data-json @payload.json ./feroxbuster -u http://127.1 --data-urlencoded 'some=payload' ./feroxbuster -u http://127.1 --data-urlencoded @file.payload ```

标签：Rust, SEO工具, Web安全, 关键词优化, 内容发现, 可视化界面, 强制浏览, 敏感信息探测, 文件枚举, 暴力枚举, 目录枚举, 移动安全, 网络安全, 网络流量审计, 蓝队分析, 资源枚举, 路径遍历, 递归扫描, 通知系统, 隐私保护, 预测资源定位