|
|
|
联系客服020-83701501

使用burp suite探测Web目录

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
垄断burp suite探测Web目录

攻打方针夙昔,最紧张的是搜集静态,搜寻引擎便或许被动爬取web的内容,不过搜寻引擎都要效率robots协定(这个…至于360搜 索…),robots.txt是web办理确立的一个txt文件,讲述搜寻引擎哪些文件必要被爬取、哪些文件不企望被爬取。搜寻引擎的spider的大抵工 作历程为起首请求一个页面,尔后解析这个页面,查找该页面连接到其它内容的链接,尔后再请求,如斯循环。

我们或许垄断工具来被动抓取Webweb的内容,义务原理与spider妙技大抵雷同,但是这些工具可不受robots的解放,它们还会按照 robots中阻止的目录来停止爬取。spider工具或许爬取web的文件和目录,也或许解析HTML表单,而且或许按照指定的规定,提交表单。

burp suite即是如许一款工具。界面如图:

运转burp suite必要外地安插jdk,且设置装备摆设了状况变量,点击运转里边的suite.bat即可,如果不凋射,编辑该文件,文本内容变换成java -jar? burpsuite_v1.4.01.jar即可(按照本身的版本,自行篡改)。burp suite还或许拦挡外地浏览器的请求,批改拦挡到的数据包,酬谢批改后在提交给Web办事器,条件是浏览器设置装备摆设了外地的代理办事器IP为127.0.0.1,端口默认8080,如截图:

,点击forward放行,点击drop丢掉改包。如许在外地浏览器中收回的包,都要经过历程burp suite,如截图:

或许停止相应批改后,再放行,把包收归去。

右击burp suite拦挡到的包,点击发送到spider,burp suite便或许被动爬取web的目录,如截图:

过一段岁月便或许探测出Web办事器的外地目录(因为spider是基于链接url地爬取,如果有的文件不有被链接,那spider就很难抓取到)。抓取结果如截图:

本文只是团体学习笔记,发表进去并不应允用各种工具和妙技探测外人的办事器。

转自红黑联盟作者易踪网由网络安全攻防钻研室(www.91ri.org)静态安全小组搜集整理。

数安新闻+更多

证书相关+更多