探测网站(一)burp suite探测Web目录
2013-09-28 00:00
78 查看
攻击目标之前,最重要的是收集信息,搜索引擎就可以自动爬取网站的内容,不过搜索引擎都要遵守robots协议(这个...至于360搜索...),robots.txt是网站管理创建的一个txt文件,告诉搜索引擎哪些文件需要被爬取、哪些文件不希望被爬取。搜索引擎的spider的大致工作过程为首先请求一个页面,然后分析这个页面,查找该页面连接到其他内容的链接,然后再请求,如此循环。
我们可以使用工具来自动抓取Web站点的内容,工作原理与spider技术大致相同,但是这些工具可不受robots的约束,它们还会根据robots中禁止的目录来进行爬取。spider工具可以爬取网站的文件和目录,也可以分析HTML表单,并且可以按照指定的规则,提交表单。
burp suite就是这样一款工具。界面如图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/91c45166fc4103b9cff19033f0c46057.jpg)
运行burp suite需要本地安装jdk,且配置了环境变量,点击运行里边的suite.bat即可,如果不成功,编辑该文件,文本内容替换成java -jar burpsuite_v1.4.01.jar即可(根据自己的版本,自行改变)。burp suite还可以拦截本地浏览器的请求,修改拦截到的数据包,人为修改后在提交给Web服务器,前提是浏览器配置了本地的代理服务器IP为127.0.0.1,端口默认8080,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/bc00fb193064f7dfa64c4e8b66ef341d.jpg)
点击forward放行,点击drop丢掉改包。这样在本地浏览器中发出的包,都要经过burp suite,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/8c56a74d2aab6f917b0c29c62b7f31c6.jpg)
可以进行相应修改后,再放行,把包发出去。
右击burp suite拦截到的包,点击发送到spider,burp suite就可以自动爬取网站的目录,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/b6f2f4b58ceaabda247f6ed246db3e46.jpg)
过一段时间就可以探测出Web服务器的本地目录(由于spider是基于链接url地爬取,如果有的文件没有被链接,那spider就很难抓取到)。抓取结果如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/1517fdf61845f8e869b49598d86f4fd4.jpg)
(易踪网上的文章只是个人学习笔记,贴出来并不赞成用各种工具和技术探测别人的服务器)。
本文由youthflies发表在易踪网上,原文地址:http://www.yeetrack.com/?p=173
谷歌渗透测试之信息搜集
我们可以使用工具来自动抓取Web站点的内容,工作原理与spider技术大致相同,但是这些工具可不受robots的约束,它们还会根据robots中禁止的目录来进行爬取。spider工具可以爬取网站的文件和目录,也可以分析HTML表单,并且可以按照指定的规则,提交表单。
burp suite就是这样一款工具。界面如图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/91c45166fc4103b9cff19033f0c46057.jpg)
运行burp suite需要本地安装jdk,且配置了环境变量,点击运行里边的suite.bat即可,如果不成功,编辑该文件,文本内容替换成java -jar burpsuite_v1.4.01.jar即可(根据自己的版本,自行改变)。burp suite还可以拦截本地浏览器的请求,修改拦截到的数据包,人为修改后在提交给Web服务器,前提是浏览器配置了本地的代理服务器IP为127.0.0.1,端口默认8080,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/bc00fb193064f7dfa64c4e8b66ef341d.jpg)
点击forward放行,点击drop丢掉改包。这样在本地浏览器中发出的包,都要经过burp suite,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/8c56a74d2aab6f917b0c29c62b7f31c6.jpg)
可以进行相应修改后,再放行,把包发出去。
右击burp suite拦截到的包,点击发送到spider,burp suite就可以自动爬取网站的目录,如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/b6f2f4b58ceaabda247f6ed246db3e46.jpg)
过一段时间就可以探测出Web服务器的本地目录(由于spider是基于链接url地爬取,如果有的文件没有被链接,那spider就很难抓取到)。抓取结果如截图:
![](https://oscdn.geek-share.com/Uploads/Images/Content/202003/24/1517fdf61845f8e869b49598d86f4fd4.jpg)
(易踪网上的文章只是个人学习笔记,贴出来并不赞成用各种工具和技术探测别人的服务器)。
本文由youthflies发表在易踪网上,原文地址:http://www.yeetrack.com/?p=173
谷歌渗透测试之信息搜集
探测网站(一)burp suite探测Web目录
探测网站(二)httprint探测Web服务器类型
探测网站(三)nikto探测Web服务器漏洞
探测网站(四)burp suite暴力猜解密码
相关文章推荐
- Web网站敏感目录/内容探测工具 – Cansina
- Web网站敏感目录/内容探测工具 : Cansina
- Web网站敏感目录/内容探测工具 – Cansina
- [原创]vss web网站Bin目录问题
- 如何让虚拟目录里面的webconfig不继承网站的设置
- 网站、Web 应用程序和虚拟目录
- Eclipse下将web项目部署到网站根目录
- 【转】配置子目录Web.config使其消除继承,用虚拟目录创建多个网站的方法
- vs2015启动网站调试提示 HTTP 错误 403.14 - Forbidden Web 服务器被配置为不列出此目录的内容。 解决方法
- 如何让虚拟目录里面的webconfig不继承网站[转]
- svn文件同步到web服务器,即同步到网站根目录
- 配置子目录Web.config使其消除继承,用虚拟目录创建多个网站的方法
- Web设计师目录网站
- [基本实验] 探测Web目录结构和隐藏的敏感文件
- 网站目录防篡改程序,perl web目录md5文件验证
- 分享一款web平台永久免费在线对话软件(无需专用的客服平台,只需把服务端文件放在网站目录下)
- Linux与云计算——第二阶段Linux服务器架设 第七章:网站WEB服务器架设—用户目录虚拟主机和SSL
- 【转】如何让虚拟目录里面的webconfig不继承网站的设置
- 如何让虚拟目录里面的webconfig不继承网站的设置
- 如何让虚拟目录里面的webconfig不继承网站