web目录扫描工具汇总

在渗透中，我们需要得到网站web服务器的路劲。如管理员后台,站点的敏感文件如（站点备份、数据库备份）等等。在kali中有很多这样的优秀工具，本文将为你一一介绍。

🐹01 Gobuster

Gobuster 是一个开源工具，主要用于网站目录扫描和子域名收集。安装也很简单，只需执行下面命令即可！

apt-get install gobuster

使用参数：

• -u : –url 网站的域名或者IP

• -w : 用户自定义字典

• -x : 自定义文件类型如php jsp

示例

gobuster dir -u http://192.168.0.106/bolt/ -w /usr/share/wordlists/dirb/big.txt -x php

🐼02 DIRB

DIRB 是一个 Web 内容扫描器。它是 kali linux 内置的工具，通过对 Web 服务器发起基于字典的攻击并分析响应来工作，但请记住它是内容扫描器而不是漏洞扫描器。使用也很简单，在DIRB后面直接加目标域名即可。

dirb https://bbskali.cn

🐛03 dirsearch

Dirsearch 是一个用 Python 编写的暴力扫描工具，用于查找隐藏的 Web 目录和文件。它可以在 Windows、Linux和 macOS上运行，而且终端界面配色也比较漂亮。安装dirsearch在kali中默认没有安装，我们只需执行下面命令进行安装。

apt-get install dirsearch

使用

dirsearch -u https://bbskali.cn

Wfuzz

Wfuzz 在 Kali Linux内置的，因此我们可以通过在终端上键入wfuzz来启动它。参数-u : 目标网址-w : 单词表

wfuzz -u https://bbskali.cn -w /usr/share/dirb/wordlists/common.txt --hc 400,404,403

🐣04 Metasploit

利用metasploit 框架,我们也可以对网站目录进行扫描。

use auxiliary/scanner/http/dir_scanner
set rhosts bbskali.cn
set path secnhack/
set dictionary /usr/share/dirb/wordlists/common.txt
run

🐳05 DirBuster

DirBuster是kali自带的一款图形化工具。终端执行命令在其中提交目标详细信息，如下所示。

效果如下：

手铐来了！！ 手铐来了！！！ 手铐来了！！！ 手铐来了 ！！！