请选择 进入手机版 | 继续访问电脑版

女安网-零基础入门网络安全学习-渗透测试零基础入门学习

 找回密码
 立即注册

QQ登录

只需一步,快速开始

扫一扫,访问微社区

查看: 1039|回复: 0

扫目录过狗过waf方法

[复制链接]

114

主题

128

帖子

999

积分

管理员

Rank: 9Rank: 9Rank: 9

积分
999
发表于 2018-5-4 15:07:59 | 显示全部楼层 |阅读模式

用御剑的朋友都遇到过这个页面吧,装狗了开启保护就会这样
本机搭建安全狗设置发现,默认是过蜘蛛的,所以只要把http头来路改成蜘蛛的useragent就ok了
无奈御剑和wscan 都是无法设置http头的,也无法用burp做代理中转改http
像AWVS,Burp类大型扫描工具也可以进行目录扫描,并且也可以挂代理,改http头,不过个人感觉远没有专业扫描工具来的简单
因此翻出一款老工具
DirBuster是Owasp(开放Web软体安全项目- Open Web Application Security Project )开发的一款专门用于探测Web服务器的目录和隐藏文件。
由于使用Java编写,电脑中要装有JDK才能运行。
1. 配置说明
点击Options—Advanced Options打开如下配置界面
0c64b7919a440d0623b28778a1a574f1.jpg

在这里可以设置不扫描文件类型,设置遇到表单自动登录,增加HTTP头(Cookie……),
以及代理设置,超时链接设置,默认线程,字典,扩展名设置
有时间的小伙伴自己捣鼓捣鼓 ,这里不多说了
如果想过waf的话,这里需要改一下
User-Agent: Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html)

f6a7c29fea7aceb7b6d05a64e68ca36d.png
2. 扫描测试
本地搭建了一个Dede站,直接开撸,英文不好的同学会发现坑有点多,以下是正确参数,御剑的字典直接拿来用

b290f03e8e722218c407342a40ad0840.jpg
在第4步中也可以选择纯暴力破解模式,命中率不高,相比之下还是模糊测试好用些
上面有一个小错误,在第7步的时候,扫目标站下的目录应该填写/DedeCms5.7/{dir}  不知道细心的小伙伴发现了没~
否则的话扫的就是127.0.0.1:8080下的目录了
3. 扫描结果
这是本地扫描目录列表,点击TreeView可以自己查看目录树
4249517bd5e4af002a308208289b47da.jpg
项目地址
https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project
必火网络安全培训,北京实地培训,月月有开班,零基础入门,四个月打造渗透高手。
详情请加微信:18622800700,手机微信同号。
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|Archiver|手机版|小黑屋|女安网-零基础入门网络安全学习-渗透测试零基础入门学习 ( 津ICP备17008032号-3版权所有:一极(天津)安全技术服务有限公司

GMT+8, 2019-2-22 05:05 , Processed in 0.176006 second(s), 26 queries .

Powered by Discuz! X3.2

© 2001-2013 Comsenz Inc.

快速回复 返回顶部 返回列表