import os
import sys
if sys.version_info < (3, 0):
sys.stdout.write("Sorry, dirsearch requires Python 3.x\n")
sys.exit(1)
from lib.core import ArgumentParser
from lib.controller import Controller
from lib.output import CLIOutput, PrintOutput
class Program(object):
def __init__(self):
self.script_path = os.path.dirname(os.path.realpath(__file__))
self.arguments = ArgumentParser(self.script_path)
if self.arguments.quiet:
self.output = PrintOutput(self.arguments.color)
else:
self.output = CLIOutput(self.arguments.color)
self.controller = Controller(self.script_path, self.arguments, self.output)
if __name__ == "__main__":
main = Program()
以几道题目为例(随手开的容器):
在该脚本所在路径框中输入cmd打开终端后调用脚本。
第一题:
输入扫描参数和待扫描URL(网址),通过扫描后我们在子目录中发现了一个robots.txt
在URL中通过/访问他可以得到一个提示。
继续访问即可得到flag。
cyberpeace{48bd679fb223b8c69334e753d384d10b}
这里给出常见的备份文件后缀名有: .git .svn .swp .svn .~ .bak .bash_history
扫描此网址,得到/index.php.bak。
访问此网址,得到文件下载。
下载完成后通过VSC打开。
得到flag。
Cyberpeace{855A1C4B3401294CB6604CCC98BDE334}
攻防世界Web新手入门常用工具-dirsearch-Web路径扫描器-暴力破解Web服务器中的目录和文件Dirsearch是一种成熟的命令行工具,旨在暴力破解Web服务器中的目录和文件。 将一些代码保存到一个名为dirsearch.py的文件即可使用。代码如下:#!/usr/bin/env python3# -*- coding: utf-8 -*-# This program is free software; you can redistribute it and/or modify#
dirsearch介绍
dirsearch是一个基于python3的命令行工具,常用于暴力扫描页面结构,包括网页中的目录和文件。相比其他扫描工具disearch的特点是:
支持HTTP......
Dirsearch是一款用Python编写的目录扫描工具,可以用于发现Web应用程序中隐藏的文件和目录。它的特点是速度快、易于使用和高度可配置。Dirsearch提供了一个字典列表(默认自带),包含了常见的目录和文件名,同时也支持用户自定义字典。
使用Dirsearch时,用户只需指定目标URL和选择字典列表即可开始扫描。Dirsearch会尝试使用字典中的每个条目构建URL,并发送HTTP请求以检查响应是否存在。除此之外,用户还可以利用Dirsearch的多种选项进行自定义配置,例如设置线程数、忽略某些响应代码、设置代理等等。
常用的指令:
-u 或 --url:指定目标URL。
-e 或 --extensions:指定扫描的文件扩展名,多个扩展名以逗号分隔。
-x 或 --exclude-extensions:指定不需要扫描的文件扩展名,多个扩展名以逗号分隔。
-w 或 --wordlist:指定使用的字典文件路径。
-t 或 --threads:指定线程数,默认为10。
-r 或 --recursive:设置是否递归扫描子目录,默认为否。
-s 或 --simple-repo
想对项目URL进行扫描自然离不开对应的注解。
说起注解,自然而然的就会想到Annotation,也就是java.lang.annotation.Annotation,通过观察类关系树状图
我们不难发现Annotation下有个WebServlet接口,再通过输出语句我们可以看到里面包含了我们想要的url信息,如下图
接下来为了得到WebServlet接口里面的value值也就是url,我们可以...
对 web 平台进行漏洞扫描可以使用许多工具。常用的工具包括:
1. Nessus: Nessus 是一款功能强大的安全扫描器,可用于发现 web 平台的漏洞。
2. Acunetix: Acunetix 是一款专为 web 平台设计的漏洞扫描工具,可帮助你发现 SQL 注入,跨站脚本 (XSS) 攻击等常见漏洞。
3. Burp Suite: Burp Suite 是一款流行的 web 安全测试工具,可用于模拟攻击并检测 web 平台的漏洞。
4. W3AF: W3AF 是一款开源的 web 漏洞扫描工具,可帮助你发现常见的 web 安全问题,包括 SQL 注入,跨站脚本攻击等。
除了上述工具之外,还有许多其他的 web 漏洞扫描工具可供选择,如 AppScan、WebInspect 等。选择哪种工具取决于你的需求和喜好。
