文章目录
- 工具下载及环境准备
- 查看帮助信息
- 进行目录扫描
官方介绍 :An advanced command-line tool designed to brute force directories and files in webservers, AKA web path scanner
一个高级命令行工具,用于暴力破解网络服务器中的目录和文件,也称为网络路径扫描器
工具下载及环境准备
百度或者github搜索 dirsearch,进行下载。https://gitee.com/xiaozhu2022/dirsearch
也可以点击 下载
该工具为python脚本工具,需要依赖 python 3,请提前下载安装
可以点击 下载 并自行安装
将下载的 dirsearch 压缩包解压到指定的目录如下,我这里再win10 上进行测试,解压后的目录如下
查看帮助信息
python dirsearch.py -h
PS dirsearch\dirsearch-master> python dirsearch.py -h
Usage: dirsearch.py [-u|--url] target [-e|--extensions] extensions [options]
Options:
--version show program's version number and exit
-h, --help show this help message and exit
Mandatory:
-u URL, --url=URL Target URL(s), support multiple flags
-l PATH, --url-file=PATH
URL list file
--stdin Read URL(s) from STDIN
--cidr=CIDR Target CIDR
--raw=PATH Load raw HTTP request from file (use `--scheme` flag
to set the scheme)
-s SESSION_FILE, --session=SESSION_FILE
Session file
--config=PATH Full path to config file, see 'default.conf' for
example (Default: default.conf)
Dictionary Settings:
-w WORDLISTS, --wordlists=WORDLISTS
Customize wordlists (separated by commas)
-e EXTENSIONS, --extensions=EXTENSIONS
Extension list separated by commas (e.g. php,asp)
-f, --force-extensions
Add extensions to the end of every wordlist entry. By
default dirsearch only replaces the %EXT% keyword with
extensions
-O, --overwrite-extensions
Overwrite other extensions in the wordlist with your
extensions (selected via `-e`)
--exclude-extensions=EXTENSIONS
进行目录扫描
该工具已经内置了常用的扫描目录字典,字典文件位置如下,可以根据需要添加 修改里边的内容
这里修改扫描内容为 springboot 漏洞扫描常用url
启动一个web服务用于测试,http://192.168.18.11:9080,执行如下命令进行扫描,结果如下:
测试应用后台 访问记录如下:
其他参数功能参考 帮助信息
