其他分享
首页 > 其他分享> > 1-11 Burpsuite 目录扫描探测

1-11 Burpsuite 目录扫描探测

作者:互联网

目录扫描原理

利用Burpsuite Intruder模块进行不断枚举,然后对响应状态码筛选。从而得出站点目录下那些文件存在,那些文件不存在

在这里插入图片描述

对GET提交的目录或者是对应的网页进行测试,设置Sniper

实战演示

打开Burpsuite,启动

在这里插入图片描述

打开测试的网站

在这里插入图片描述

在这个过程中,我们要准备网页对应的字典文件

开启截断,拦截数据包

在这里插入图片描述

发送到Intruder模块

在这里插入图片描述

Intruder>Positions,选Sniper

在这里插入图片描述

Clear §

在这里插入图片描述

在域名处输入字符,选中输入的字符,Add §

在这里插入图片描述

Payload选择Runtime file,打开字典文件

选择Simple list也可以,但是加载数据需要花时间,选择Runtime file就不用,直接打开就可以用,如果是一个比较大的文件情况下,建议大家使用Runtime file

在这里插入图片描述

点击Start attack,开始探测

在这里插入图片描述

这个时候会返回不同的状态码,有500,302以及一些其它的,我们只要找到200,即可证明这些文件存在

在这里插入图片描述

302跳转、404不存在,这样的方式筛选出那些文件存在,那些文件不存在

以上就完成了目录扫描的探测

总结

1、掌握Burpsuite扫描目录原理。

2、掌握Burpsuite目录扫描操作步骤。

标签:11,文件,扫描,Burpsuite,Intruder,file,目录
来源: https://blog.csdn.net/m0_53008479/article/details/121661001