正文

工具推荐 | 自动化过滤扫描结果的目录扫描工具

admin
admin V管理员 /0 评论 /191 阅读
0416
此篇文章发布距今已超过192天,您需要注意文章的内容或图片是否可用!

点击上方蓝字关注我们

现在只对常读和星标的公众号才展示大图推送,建议大家能把星落安全团队设为星标”,否则可能就看不到了啦

工具介绍

平时使用过 dirsearch|dirmap 等一些目录扫描工具,针对如今的 WEB 多样化,对扫描结果的过滤总感觉与预期不符合。因此下定决心造个轮子,就这样有了 dirsx。当时是使用 python 写的,但是可移植性不是很好。所以使用 golang 进行重构,顺便学习一下 golang。
工具功能
大部分功能其他工具都有, 只是根据个人习惯更改
使用html相似度对结果进行过滤对301、302、403状态进行二次判断对json返回结果进行判断字典第一个字母大写|全部字母大写|添加前后缀返回页面title, 如无title返回内容前面30个字符串 (默认|设置)自动过滤模式, 默认开启 (开启|关闭)
基本使用
指定字典进行扫描
dirsx -u https://www.baidu.com -w words.txt

指定目录递归扫描,目前暂无添加结果递归功能扫描,担心目录误报

dirsx -u https://www.baidu.com -w words.txt --splithttps://www.baidu.com/a/b/-> https://www.baidu.com/a/-> https://www.baidu.com/a/b/

指定备份文件进行扫描

dirsx -u https://www.baidu.com -w words.txt --bak

指定添加后缀进行扫描

dirsx -u https://www.baidu.com -w words.txt --suffix h5# https://www.baidu.com/admin-> https://www.baidu.com/adminh5

指定添加 cookie | headers

# --cookiedirsx -u https://www.baidu.com -w words.txt --cookie "session=admin"# --headersdirsx -u https://www.baidu.com -w words.txt --headers "Authorization: bearer eyJ0eX..." --headers "X-Forwarded-For: 127.0.0.1"# --headers-filedirsx -u https://www.baidu.com -w words.txt --headers-file headers.txt

内置一些常用字典选择, 在没有指定字典时显示该列表

  • 常见目录字典
  • dirsearch 的自带字典
  • 长度为 1-5 的字母组合
  • ... ...
~ kali$ dirsx -u http://127.0.0.1/    ██████╗ ██╗██████╗ ███████╗██╗  ██╗                  ██╔══██╗██║██╔══██╗██╔════╝╚██╗██╔╝      ██║  ██║██║██████╔╝███████╗ ╚███╔╝     ██║  ██║██║██╔══██╗╚════██║ ██╔██╗     ██████╔╝██║██║  ██║███████║██╔╝ ██╗    ╚═════╝ ╚═╝╚═╝  ╚═╝╚══════╝╚═╝  ╚═╝                                       1.1.0                        xboy@遥遥领先[+] You have not appoint payloads, so you can select from the list: [0] fuzzing-dirs-common.txt[1] fuzzing-dirs-dirsearch.txt[2] fuzzing-files-php.txt[3] fuzzing-letter-len1.txt[4] fuzzing-letter-len2.txt[5] fuzzing-letter-len3.txt[6] fuzzing-letter-len4.txt... ...[+] Select payloads with number: 1

字典添加

可在 dicts 目录下根据个人需求更新常用字典

dirsx $ tree.├── dicts│   ├── fuzzing-dirs-common.txt│   ├── fuzzing-dirs-dirsearch.txt│   ├── fuzzing-files-php.txt│   ├── fuzzing-letter-len1.txt│   ├── fuzzing-letter-len2.txt│   ├── fuzzing-letter-len3.txt│   ├── fuzzing-letter-len4.txt│   ├── fuzzing-months-1-12.txt│   ├── fuzzing-numbers-0-9.txt│   ├── fuzzing-payloads-aspx.txt│   ├── fuzzing-payloads-bakfile.txt│   ├── fuzzing-payloads-common.txt│   ├── fuzzing-payloads-java.txt│   ├── fuzzing-payloads-null.txt│   ├── fuzzing-payloads-php.txt│   ├── fuzzing-routers-common.txt│   ├── fuzzing-words-len1-5.txt│   └── fuzzing-years-1990-2024.txt├── dirsx

相关地址

关注微信公众号后台回复“入群”,即可进入星落安全交流群!
关注微信公众号后台回复“20250416”,即可获取项目下载地址!

圈子介绍

博主介绍

目前工作在某安全公司攻防实验室,一线攻击队选手。自2022-2024年总计参加过30+次省/市级攻防演练,擅长工具开发、免杀、代码审计、信息收集、内网渗透等安全技术。

目前已经更新的免杀内容:

  • 部分免杀项目源代码

  • 一键击溃360+核晶

  • 一键击溃windows defender

  • 一键击溃火绒进程

  • CobaltStrike4.9.1二开 

  • CobaltStrike免杀加载器

  • 数据库直连工具免杀版

  • aspx文件自动上线cobaltbrike

  • jsp文件自动上线cobaltbrike

  • 哥斯拉免杀工具 XlByPassGodzilla

  • 冰蝎免杀工具 XlByPassBehinder

  • 冰蝎星落专版 xlbehinder

  • 正向代理工具 xleoreg

  • 反向代理工具xlfrc

  • 内网扫描工具 xlscan

  • CS免杀加载器 xlbpcs

  • Todesk/向日葵密码读取工具

  • 导出lsass内存工具 xlrls

  • 绕过WAF免杀工具 ByPassWAF

  • 等等...

目前星球已满300人,价格由208元调整为218元(交个朋友啦),400名以后涨价至268元!

往期推荐

1.

3

4. 

声明】本文所涉及的技术、思路和工具仅用于安全测试和防御研究,切勿将其用于非法入侵或攻击他人系统以及盈利等目的,一切后果由操作者自行承担!!!


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
宙飒天下