5 个最佳 Linux 目录爆破工具

正在寻找免费使用的工具来枚举 Web 服务器上的隐藏目录和文件？以下是用于目录爆发的最佳 Linux 工具。

要点

• 目录爆破是道德黑客攻击中的一项基本技术，用于发现 Web 服务器或应用程序上隐藏的目录和文件。
• Linux 提供了多种目录突发工具，例如 DIRB、DirBuster、Gobuster、ffuf 和 dirsearch。
• 这些工具自动执行向 Web 服务器发送 HTTP 请求并猜测目录名称的过程，以查找未在网站导航或站点地图上公布的资源。

在每个 Web 应用程序渗透测试的侦察阶段，找到应用程序上可能的目录至关重要。这些目录可能包含重要的信息和发现，可以极大地帮助您查找应用程序中的漏洞并提高其安全性。

幸运的是，互联网上有一些工具可以使目录暴力破解变得更容易、自动化和更快。以下是 Linux 上的五个目录爆破工具，用于枚举 Web 应用程序上的隐藏目录。

什么是目录爆破？

目录爆破，也称为“目录暴力破解”，是一种道德黑客技术，用于发现 Web 服务器或应用程序上隐藏的目录和文件。它涉及通过猜测目录名称或枚举公共目录和文件名列表来系统地尝试访问不同的目录。

目录爆发的过程通常涉及使用自动化工具或脚本向 Web 服务器发送 HTTP 请求，尝试不同的目录和文件名来查找未在网站导航或站点地图上显式链接或广告的资源。

互联网上有数百种免费工具可用于执行目录爆破。以下是您可以在下一次渗透测试中使用的一些免费工具：

1. DIRB

DIRB 是一种流行的 Linux 命令行工具，用于扫描和暴力破解 Web 应用程序上的目录。它根据网站 URL 从单词列表中枚举可能的目录。

DIRB 已经安装在 Kali Linux 上。但是，如果您没有安装它，则无需担心。您只需要一个简单的命令即可安装它。

对于基于 Debian 的发行版，运行：

sudo apt install dirb

对于非 Debian Linux 发行版（例如 Fedora 和 CentOS），执行：

sudo dnf install dirb

在 Arch Linux 上，运行：

yay -S dirb

如何使用 DIRB 暴力破解目录

在 Web 应用程序上执行目录暴力破解的语法是：

dirb [url] [path to wordlist]

例如，如果您要暴力破解 https://example.com，则命令如下：

dirb https://example.com wordlist.txt

您还可以在不指定单词列表的情况下运行该命令。 DIRB 将使用其默认单词列表文件 common.txt 来扫描网站。

dirb https://example.com

2. 毁灭战士

DirBuster 与 DIRB 非常相似。主要区别在于 DirBuster 具有图形用户界面 (GUI)，与 DIRB 不同，DIRB 是命令行工具。 DIRB 允许您根据自己的喜好配置目录暴力扫描，并通过状态代码和其他有趣的参数过滤结果。

您还可以设置线程数，确定您希望扫描运行的速度，以及您希望应用程序搜索的特定文件扩展名。

您所需要做的就是输入要扫描的目标 URL、要使用的单词列表、文件扩展名和线程数（可选），然后单击开始。

随着扫描的进行，DirBuster 将在界面中显示发现的目录和文件。您可以查看每个请求的状态（例如，200 OK、404 Not Found）以及已发现项目的路径。您还可以将扫描结果保存到文件中以供进一步分析。这将有助于记录您的发现。

DirBuster 已安装在 Kali Linux 上，但您也可以轻松地在 Ubuntu 上安装 DirBuster。

3. 高巴斯特

Gobuster 是一个用 Go 编写的命令行工具，用于暴力破解网站中的目录和文件、打开 Amazon S3 存储桶、DNS 子域、目标 Web 服务器上的虚拟主机名、TFTP 服务器等。

要在 Linux 的 Debian 发行版（例如 Kali）上安装 Gobuster，请运行：

sudo apt install gobuster

对于 RHEL 系列 Linux 发行版，运行；

sudo dnf install gobuster

在 Arch Linux 上，运行：

yay -S gobuster

或者，如果您安装了 Go，请运行：

go install github.com/OJ/gobuster/v3@latest

如何使用 Gobuster

使用 Gobuster 暴力破解 Web 应用程序中的目录的语法是：

gobuster dir -u [url] -w [path to wordlist]

例如，如果您想暴力破解 https://example.com 上的目录，命令将如下所示：

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. 噗噗

ffuf 是一个用 Go 编写的非常快速的网络模糊器和目录暴力破解工具。它用途广泛，尤其以其速度和易用性而闻名。

由于 ffuf 是用 Go 编写的，因此您需要在 Linux PC 上安装 Go 1.16 或更高版本。使用以下命令检查您的 Go 版本：

go version

要安装 ffuf，请运行以下命令：

go install github.com/ffuf/ffuf/v2@latest

或者您可以克隆 github 存储库并使用以下命令进行编译：

git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build

如何使用 ffuf 暴力破解目录

使用 ffuf 进行目录暴力破解的基本语法是：

ffuf -u [URL/FUZZ] -w [path to wordlist]

例如，要扫描 https://example.com，命令为：

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. 搜索

dirsearch 是另一个强制命令行工具，用于枚举 Web 应用程序上的目录。尽管它是基于终端的应用程序，但由于其丰富多彩的输出而特别受欢迎。

您可以通过 pip 安装 dirsearch，运行：

pip install dirsearch

或者，您可以通过运行以下命令来克隆 GitHub 存储库：

git clone https://github.com/maurosoria/dirsearch.git --depth 1

如何使用 dirsearch 暴力破解目录

使用 dirsearch 暴力破解目录的基本语法是：

dirsearch -u [URL]

要暴力破解 https://example.com 上的目录，您需要做的就是：

dirsearch -u https://example.com

使用工具自动执行网络安全任务

毫无疑问，这些工具将为您节省大量手动猜测这些目录的时间。在网络安全中，时间是宝贵的资产，这就是为什么每个专业人士都利用开源工具来优化他们的日常流程。

有数以千计的免费工具，特别是在 Linux 上，可以让您的工作更加高效，您所需要做的就是探索并选择适合您的工具！