1、后台扫描
当我们通过f12和抓包后还可通过御剑后台扫描工具或者dirsearch等工具进行路径扫描查看是否存在一些敏感文件,如后台管理页面或备份文件等,还可以看看robots.txt文件。
2、御剑
2.1、特点
1.扫描线程自定义:用户可根据自身电脑的配置来设置调节扫描线程
2.集合DIR扫描 ASP ASPX PHP JSP MDB数据库 包含所有网站脚本路径扫描
3.默认探测200 (也就是扫描的网站真实存在的路径文件)
御剑操作比较简单,直接输入网址,然后设置线程和扩展名类型,还可探测不同状态的页面,最后在下面显示结果,还可以在配置文件中修改扫描的字典。
链接: https://pan.baidu.com/s/1DoCedakls2alAOTb8h002g
提取码: ri64
3、dirsearch
3.1、介绍
dirsearch是一款基于python的命令行工具,也是通过暴力破解获得其页面结构。下载地址
3.2、特点
- 多线程
- 可保持连接
- 支持多种后缀(-e|–extensions asp,php)
- 生成报告(纯文本,JSON)
- 启发式检测无效的网页
- 递归的暴力扫描
- 支持HTTP代理
- 用户代理随机化
- 批量处理
- 请求延迟
3.3、使用
dirsearch基础命令格式:
python dirsearch.py -u target -e 包含的文件扩展名 + 其他参数
3.4、常用参数如下
3.4.1、扫描目标
-u,--url 目标url
-l,--url-list=FILE 目标url文件路径
--stdin 从标准输入中指定url
--cidr 目标网段
--raw=File 从文件中读取request报文,通过-schema指定策略(如--schema https)
3.4.2、扫描字典类型
-e,--extensions 包含的文件拓展名(逗号分隔) 如-e php,asp
-X,--exclude-extensions 排除的文件拓展名(逗号分隔) 如-X asp,jsp
-f,--force-extensions 在字典的每条记录后面添加文件拓展名
dirsearch默认只会替换字典中%EXT%为指定的extensions
如-e php Wishlist.%EXT%-->Wishlist.php
3.4.3、字典格式设置
-w,--wordlists 自定义wordlist(以逗号分隔)
--prefixes 添加自定义前缀
--suffixes 添加自定义后缀
--only-selected 筛选出指定的文件拓展名或无文件拓展名的目录
--remove-extensions 移除所有wordlist的后缀名 (admin.php --> admin)
-U, --uppercase 将字典转换为大写
-L, --lowercase 将字典转换为小写
-C, --capital 第一个字母大写剩下字母小写
3.4.4、扫描结果过滤
-i 保留的响应状态码(以逗号分隔,支持指定范围) 如(-i 200,300-399)
-x 排除的响应状态码(以逗号分隔,支持指定范围) 如(-x 301,500-599)
--exclude-sizes 通过大小排除(以逗号分隔) 如(123B,4KB)
--exclude-texts 通过文本内容排除响应('Not found', 'Error')
--exclude-regexps 通过正则匹配排除响应('Not foun[a-z]{1}', '^Error$')
--exclude-redirects 通过正则跳转目标排除响应('https://okta.com/*')
--minimal 最小响应报文长度
--maximal 最大响应报文长度
3.4.5、请求相关设置
-m,--http-method HTTP请求方法 默认为GET
-d,--data HTTP请求数据
-H,--header 请求头 如(-H 'Referer: example.com' -H 'Accept: */*')
--header-list=FILE 从文件中读取请求头
-F,--follow-redirects 跟随HTTP跳转
--user-agent 设置user-agent字段
--cookie 设置cookie
3.4.6、连接相关设置
--timeout=TIMEOUT 连接超时时间
--ip=IP 服务器ip地址
-s DELAY, --delay=DELAY 每次请求间隔的时间
--proxy=PROXY 代理url 支持HTTP和SOCKS代理 如(localhost:8080, socks5://localhost:8088)
--proxy-list=FILE 包含代理服务器的地址
--matches-proxy=PROXY Proxy to replay with found paths
--scheme 默认的策略 用于从文件中导入请求或url中不包含协议
--max-retries 最大重连次数
-b,--request-by-hostname 强制通过域名连接,(默认为了速度,使用ip连接)
--exit-on-error 出现错误时退出
--debug Debug模式
3.4.7、通用设置
--version 显示dirsearch的版本
-h --help 帮助提示
-r,--recursive 递归爆破
-R,--recursion-depth 最大递归的层数
-t,--threads 线程数
--subdirs 扫描子目录 如(admin/ 则www.example.com/admin/+字典)
--exclude-subdirs 在递归扫描中排除的子目录
-q,--quiet-mode 安静模式
--full-url 打印出完整的url
--no-color 无颜色输出信息
3.4.8、输出模式
--simple-report=OUTPUTFILE
--plain-text-report=OUTPUTFILE
--json-report=OUTPUTFILE
--xml-report=OUTPUTFILE
--markdown-report=OUTPUTFILE
--csv-report=OUTPUTFILE
4、备份文件泄露
题目经常需要进行代码审计,不过有时候不会把源码直接给我们,而是要我们自己发现。备份文件就是常见的源码泄露的方式,实践中往往是开发者的疏忽而忘记删除备份文件,从而导致服务器中残留源码。我们可以通过访问这些备份文件来审计代码,一般情况下可以用后台扫描工具扫描。
4.1 、网站源码泄露
常见文件后缀
.rar
.zip
.7z
.tar
.tar.gz
.bak
.txt
.phps (用于浏览器查看php文件内容)
.swp(vim产生的临时文件,第二次是.swo,注:其文件前有个点,如文件名为index产生的临时文件为.index.swp)
~ (在文本编辑时产生的备份文件)
常见文件名
web
website
backup
back
www
wwwroot
temp
index
例如 index.php,PHP 文件常见的备份文件格式有:
index.phps
index.php.swp
index.php.swo
index.php.php~
index.php.bak
index.php.txt