信息收集 | 目錄與接口收集及利用方式

• 2020 年 2 月 16 日
• 筆記

聲明：文章僅供學習參考，請勿用作非法途徑，否則後果自負。

02

簡單介紹

掃目錄：使用字典對目錄進行爆破，探測可能存在的文件夾或文件。

接口：JS代碼/網頁注釋中含有很多鏈接，其中一些鏈接很難通過掃目錄發現。

02

收集方式

1

Dirsearch

地址： https://github.com/maurosoria/dirsearch

2

Dirmap

地址： https://github.com/H4ckForJob/dirmap

3

7kbscan

地址： https://github.com/7kbstorm/7kbscan-WebPathBrute

4

御劍

暫不提供下載方式

5

JSFinder

地址： https://github.com/Threezh1/JSFinder

6

LinkFinder

地址： https://github.com/GerbenJavado/LinkFinder

02

利用方式

• 通過目錄掃描可能找到後台登陸地址、敏感頁面/文件等，工具差異性並不大，能否掃出重要的目錄信息主要看字典。
• 通過接口收集可能找到一些敏感的頁面或數據，從而直接發現漏洞或進一步利用。

1

字典推薦

地址： https://github.com/fuzzdb-project/fuzzdb https://github.com/TheKingOfDuck/fuzzDicts https://github.com/rootphantomer/Blasting_dictionary