子域名/目录暴力工具Gobuster
时间: 2024-01-08 21:02:17 浏览: 24
Gobuster 是一个命令行工具,用于在 Web 服务器上查找隐藏的网站目录和子域名。它使用一个字典文件来生成可能的路径和子域名,并发送 HTTP 请求来检查它们是否存在。通过使用 Gobuster,渗透测试人员可以发现攻击面上的隐藏目录和子域名,从而找到潜在的漏洞和攻击点。
Gobuster 支持多种协议(如 HTTP、HTTPS 和 FTP)和多种字典文件格式。它还支持使用自定义 HTTP 头和代理服务器,以及对请求的超时时间和重试次数进行配置。
使用 Gobuster 时,需要先准备好一个字典文件,包含可能的路径和子域名。然后可以使用以下命令格式运行 Gobuster:
```
gobuster [options] url
```
其中,`options` 是各种选项和参数,`url` 是要测试的目标 URL。
以下是一些常用的 Gobuster 选项:
- `-w`:指定字典文件路径
- `-u`:指定目标 URL
- `-t`:指定线程数
- `-e`:URL 编码类型(如 URL 编码、Unicode 编码等)
- `-k`:忽略 SSL 证书错误
- `-x`:指定扩展名(如 `.php`、`.html` 等)
- `-s`:指定 HTTP 响应状态码(如 `200,301,404` 等)
- `-r`:指定要递归扫描的子目录深度
- `-b`:指定要排除的 HTTP 响应状态码(如 `403,500` 等)
例如,以下命令将使用 `common.txt` 字典文件,在 `http://example.com` 上测试常见的网站目录和文件:
```
gobuster dir -u http://example.com -w common.txt
```
使用 Gobuster 时需要谨慎,因为它可以在短时间内发送大量的请求,可能会导致目标服务器崩溃或被封禁。因此,建议在使用 Gobuster 时遵循道德准则和合法法律规定。