使用 Recursive Dirbusting 发现隐藏的 Web 路径

admin 2025年1月8日09:46:34评论14 views字数 1431阅读4分46秒阅读模式
使用 Recursive Dirbusting 发现隐藏的 Web 路径使用 Recursive Dirbusting 发现隐藏的 Web 路径
图片由 Storyset 在 Freepik 上发布

Web 应用程序通常包含可能暴露敏感信息的隐藏目录和文件。递归 dirbusting 是渗透测试中使用的一种强大技术,用于系统地发现这些路径。在本文中,我们将探讨什么是递归 dirbusting、如何执行它以及成功所需的工具 - 所有这些都在 4 分钟内完成。

---

什么是递归 Dirbusting?

递归 dirbusting 是扫描 Web 服务器以识别目录和文件,然后探索发现的目录以查找其他路径的过程。通过更深入地挖掘每个目录,您可以发现隐藏的内容,否则这些内容可能会被忽视。

此技术对于查找:

管理员面板

配置文件

调试端点

敏感文档

---

递归 Dirbusting 的工作原理

1. 初始扫描:

从基本 URL(例如 http://example.com/)和潜在目录名称的单词列表开始。工具发送 HTTP 请求以检查存在哪些路径。

2. 递归探索:

找到目录后,在该目录中重复扫描。例如,如果发现 /admin/,则测试 /admin/ 以获取其他文件或子目录。

3. 重复直到筋疲力尽:

继续此过程,直到找不到新目录或达到预设的深度限制。

---

递归 Dirbusting 工具

有几种工具可以有效地执行递归 dirbusting。以下是使用最流行的方法:

1. 好棒

一种快速可靠的目录暴力破解工具。

gobuster dir -u http://example.com -w /path/to/wordlist.txt -x php,html,txt -r

-r 标志启用递归扫描。

2. 迪布

用于目录扫描的轻量级工具。

dirb http://example.com /path/to/wordlist.txt -r

-r 选项使其递归。

3. 目录搜索

具有高级功能的基于 Python 的工具。

python3 dirsearch.py -u http://example.com -e php,html -r

它是高度可定制的,并支持带有 -r 标志的递归。

4. FFUF

一个现代而灵活的模糊工具。

ffuf -u http://example.com/FUZZ -w /path/to/wordlist.txt -recursion

添加 -recursion 以浏览嵌套目录。

---

递归 Dirbusting 的最佳实践

1. 极限深度:

通过设置递归的深度限制来避免无限循环。

2. 使用目标词表:

选择与应用程序相关的单词列表,例如 API、管理面板或常用文件的单词列表。

3. 监控响应代码:

请注意 HTTP 状态代码,如 200、301、403 和 404。像 200 这样的代码表示成功,而 403 可能暗示受限制的目录。

4. 遵守速率限制:

使用速率限制选项以避免服务器不堪重负或被阻止。

---

示例场景

想象一下,扫描 http://example.com/ 会显示一个 admin/ 目录。递归扫描可能会发现:

/admin/config/

/admin/logs/

/管理员/设置/

每个新目录都可能导致敏感文件,如 config.php 或 logs.txt。递归 dirbusting 确保您不会错过这些机会。

---

结束语

递归 dirbusting 是 Web 应用程序测试的一项重要技术。使用 Gobuster、Dirb 和 Dirsearch 等工具,您可以系统地发现隐藏的目录和文件。请记住使用有针对性的单词列表,遵守服务器限制,并仔细分析响应。

准备好深入了解了吗?拿起一个工具,加载一个单词列表,然后开始发现隐藏的路径!

原文始发于微信公众号(安全狗的自我修养):使用 Recursive Dirbusting 发现隐藏的 Web 路径

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月8日09:46:34
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   使用 Recursive Dirbusting 发现隐藏的 Web 路径https://cn-sec.com/archives/3604067.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息