网站敏感目录和文件

Hack 9月4日

扫描网站目录结构，看看是否可以遍历目录，或者敏感文件泄漏

• 后台目录：弱口令，万能密码，爆破
• 安装包：获取数据库信息，甚至是网站源码
• 上传目录：截断、上传图片马等
• mysql管理接口：弱口令、爆破，万能密码，然后脱裤，甚至是拿到shell
• 安装页面 ：可以二次安装进而绕过
• phpinfo：会把你配置的各种信息暴露出来
• 编辑器：fck、ke、等
• iis短文件利用：条件比较苛刻  windows、apache等

提到了网站敏感目录我们就不得不提 robots.txt 文件了

robots.txt 文件是专门针对搜索引擎机器人robot 编写的一个纯文本文件。我们可以在这个文件中指定网站中不想被robot访问的目录。这样，我们网站的部分或全部内容就可以不被搜索引擎收录了，或者让搜索引擎只收录指定的内容。因此我们可

以利用robots.txt让Google的机器人访问不了我们网站上的重要文件，GoogleHack的威胁也就不存在了。

假如编写的robots.txt文件内容如下：

User-agent: *              Disallow: /data/              Disallow: /db/              Disallow: /admin/              Disallow: /manager/              Allow:/images/
           

其中“Disallow”参数后面的是禁止robot收录部分的路径，例如我们要让robot禁止收录网站目录下的“data”文件夹，只需要在Disallow参数后面加上 /data/  即可。如果想增加其他目录，只需按此格式继续添加。文件编写完成后将其上传到网站的根目录，就可以让网站远离Google Hack了。

虽然robots文件目的是让搜索蜘蛛不爬取想要保护的页面，但是如果我们知道了robots文件的内容的话，我们就可以知道目标网站哪些文件夹不让访问，从侧面说明这些文件夹是很重要的了。

探测目标网站后台目录的工具有：wwwscan 、御剑 、 dirbuster、cansina 等

网站目录扫描工具：

网站后台扫描工具都是利用目录字典进行爆破扫描，字典越多，扫描到的结果也越多。常用的网站后台扫描工具御剑、dirbuster和Webdirscan，不管哪个工具，要想扫描到更多的东西，都必须要有一个强大的目录字典！

御剑

御剑也是一款好用的网站后台扫描工具，图形化页面，使用起来简单上手。

dirbuster

DirBuster是Owasp(Open Web Application Security Project )开发的一款专门用于探测网站目录和文件(包括隐藏文件)的工具。由于使用Java编写，电脑中要装有JDK才能运行。

配置

点击Options—Advanced Options打开如下配置界面

在这里可以设置不扫描文件类型，设置遇到表单自动登录，增加HTTP头（Cookie……），以及代理设置，超时链接设置，默认线程，字典，扩展名设置等

开始扫描：

扫描完成之后，查看扫描结果。可以树状显示，也可以直接列出所有存在的页面

Webdirscan

使用方法：

python2 webdirscan.py -o 1.txt -t 10 http://www.xx.com       # -o 指定输出的文件，-t 指定线程数