最好的 5 个 Linux 目录爆破工具

在任何 Web 应用程序渗透测试的侦察阶段，找到应用程序上可能的目录非常重要。 这些目录可以包含重要信息和见解，可以帮助您查找应用程序中的漏洞并提高其安全性。

幸运的是，网络上有一些工具可以使目录暴力破解变得更容易、自动化和更快。 这里有五个用于目录弹出的工具 Linux 枚举 Web 应用程序中的隐藏目录。

什么是目录爆破？

目录爆破，也称为目录暴力破解，是一种道德黑客技术，用于发现 Web 服务器或应用程序上隐藏的目录和文件。 它通过猜测目录名称或通过公共目录和文件名列表进行计数来系统地尝试访问不同的目录。

目录爆发的过程通常涉及使用自动化工具或脚本，将 HTTP 请求发送到 Web 服务器并尝试不同的目录和文件名，以查找在站点导航或站点地图中未显式链接或提升的资源。

互联网上有数百种免费工具可用于执行目录爆发。 以下是一些可在下一次渗透测试中使用的免费工具：

1.DIRB

DIRB很受欢迎 Linux 用于扫描和暴力破解 Web 应用程序中的目录的命令行工具。 它根据网站 URL 从单词列表中列出可能的目录。

DIRB 已经安装在 Kali 上 Linux。 但是，如果您没有安装它，则无需担心。 您只需要一个简单的命令即可安装它。

为了 Debian基于发行版，运行：

 sudo apt install dirb 

对于非Debian Linux 分布如 Fedora 并运行 CentOS：

 sudo dnf install dirb 

在 Arch Linux 上运行：

 yay -S dirb 

如何使用 DIRB 强制目录

在 Web 应用程序上执行目录暴力破解的语法是：

 dirb [url] [path to wordlist] 

例如，如果您要暴力破解 https://example.com，则命令如下：

 dirb https://example.com wordlist.txt 

您还可以在不指定单词列表的情况下运行该命令。 DIRB 将使用其默认的单词列表文件， 通用.txt扫描该网站。

 dirb https://example.com 

2. 毁灭战士

DirBuster 与 DIRB 非常相似。 主要区别在于 DirBuster 具有图形用户界面 (GUI)，而 DIRB 是命令行工具。 使用 DIRB，您可以根据自己的喜好配置目录暴力扫描，并通过状态代码和其他有趣的参数过滤结果。

您还可以设置线程数来设置您希望扫描运行的速度，以及您希望应用程序查找的特定文件扩展名。

您所要做的就是输入要扫描的目标 URL、要使用的单词列表、文件扩展名和线程数（可选），然后单击 开始。

随着扫描的进行，Dir​​Buster 将在用户界面中显示检测到的目录和文件。 您可以查看每个请求的状态（例如 200 OK、404 Not Found）以及检测到的项目的路径。 您还可以将扫描结果保存到文件中以供进一步分析。 这将帮助您记录您的发现。

DirBuster 安装在 Kali Linux 上，但是您可以轻松地 安装 DirBuster Ubuntu。

3. 高巴斯特

Gobuster 是一个用 Go 编写的命令行工具，用于暴力破解网站上的目录和文件、打开 Amazon S3 存储桶、DNS 子域、目标 Web 服务器上的虚拟主机名、TFTP 服务器等。

如何安装 Gobuster Debian 的分布 Linux 像 Kali 一样，运行：

 sudo apt install gobuster 

对于 RHEL 系列 Linux 分发，运行；

 sudo dnf install gobuster 

在 Arch Linux 上运行：

 yay -S gobuster 

或者，如果您安装了 Go，请运行：

 go install github.com/OJ/gobuster/v3@latest 

如何使用高巴斯特

在 Web 应用程序中使用 Gobuster 暴力破解目录的语法是：

 gobuster dir -u [url] -w [path to wordlist] 

例如，如果您想暴力破解 https://example.com 上的目录，命令将如下所示：

 gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt 

4. 噗噗

ffuf 是一个用 Go 编写的非常快速的网络模糊器和目录暴力破解工具。 它用途广泛，以其速度和易用性而闻名。

由于 ffuf 是用 Go 编写的，因此您的计算机上必须安装 Go 1.16 或更高版本 Linux 个人电脑使用以下命令检查您的 Go 版本：

 go version 

运行以下命令安装 ffuf：

 go install github.com/ffuf/ffuf/v2@latest 

或者您可以克隆 Github 存储库并使用以下命令进行编译：

 git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build 

如何使用 ffuf 进行暴力破解目录

使用 ffuf 进行目录暴力破解的基本语法是：

 ffuf -u [URL/FUZZ] -w [path to wordlist] 

例如，要扫描 https://example.com，命令为：

 ffuf -u https://example.com/FUZZ -w wordlist.txt 

5. 目录搜索

dirsearch 是另一个强制命令行工具，用于枚举 Web 应用程序中的目录。 尽管它是基于终端的应用程序，但因其丰富多彩的输出而广受欢迎。

您可以通过 pip 安装 dirsearch，运行：

 pip install dirsearch 

或者您可以通过运行以下命令来克隆 GitHub 存储库：

 git clone https://github.com/maurosoria/dirsearch.git --depth 1 

如何使用 dirsearch 进行暴力破解目录

使用 dirsearch 来暴力破解目录的基本语法是：

 dirsearch -u [URL] 

要暴力破解 https://example.com 上的目录，您需要做的就是：

 dirsearch -u https://example.com 

使用工具自动化您的网络安全任务

毫无疑问，这些工具将为您节省大量时间，否则您将需要手动猜测这些目录。 在网络安全中，时间至关重要。 因此，每个专业人士都使用开源工具来简化他们的日常流程。

有数以千计的免费工具，特别是 Linux 为了让您的工作更有效率，您所要做的就是找出适合您的方法！