)
突破Dirsearch基础用法:定制化字典与智能过滤实战指南
当你第一次使用Dirsearch完成目录扫描时,那种发现隐藏路径的兴奋感可能很快就会被海量无效结果冲淡——数百个404响应中零星散布着几个200状态码,而其中大部分又是毫无价值的默认页面或图片。这种低效的扫描不仅浪费时间,更可能让你错过真正关键的敏感路径。本文将带你超越基础用法,掌握针对特定目标的精准打击技巧。
1. 为什么默认字典不再够用?
大多数安全从业者刚开始接触目录爆破时,都会直接使用工具自带的默认字典。这些通用字典(如common.txt、directory-list-2.3-medium.txt)确实能发现一些常见路径,但它们存在三个致命缺陷:
- 覆盖率陷阱:默认字典通常包含数万条目,但针对特定CMS的有效路径可能不足1%
- 噪音污染:大量无效请求会触发目标WAF的防护机制,导致IP被封禁
- 漏报风险:新兴框架的独特路径很少被收录到通用字典中
以WordPress为例,其核心文件结构相对固定,但不同插件和主题会引入大量特殊路径。我们曾在一个客户案例中发现,使用默认字典扫描时漏掉了关键插件漏洞路径/wp-content/plugins/vulnerable-plugin/admin/backdoor.php,而这个路径只存在于专门的WordPress字典中。
2. 构建精准字典的四大策略
2.1 CMS特征提取法
针对特定CMS系统,我们可以从其安装包中直接提取有效路径:
# 提取WordPress核心路径 unzip -l wordpress-5.8.zip | awk '{print $4}' | grep -E '^wp-(admin|includes|content)' > wp_core_paths.txt # 提取ThinkPHP默认模块 find thinkphp/ -type f | sed 's/thinkphp\///' | grep -vE '(\\.git|README)' > thinkphp_paths.txt这种方法能确保字典100%匹配目标框架,但需要注意:
- 删除版本控制文件路径(如.git/)
- 过滤文档文件(README.md等)
- 保留有漏洞历史的目录(如/upload/)
2.2 行业专属路径收集
不同行业网站有其特有路径模式:
| 行业 | 典型路径模式 | 风险等级 |
|---|---|---|
| 政府网站 | /gov/ /office/ /archive/ | ★★★★ |
| 教育机构 | /campus/ /teacher/ /exam/ | ★★★☆ |
| 电商平台 | /api/ /order/ /payment/ | ★★★★★ |
| 医疗机构 | /patient/ /record/ /lab/ | ★★★★☆ |
建议按目标行业特点补充以下内容:
- 行业术语英文缩写(如
/emr/电子病历) - 常见业务接口(如
/api/v1/payment/verify) - 管理后台命名习惯(中文站点常用
/admin/,而英文可能用/dashboard/)
2.3 动态字典生成技巧
使用Crunch工具生成模式化字典:
# 生成日期格式的后台路径(适合政务系统) crunch 8 8 -t /%%%%%%%/ -o date_patterns.txt # 组合型路径爆破(目录+文件) crunch 4 4 -f /usr/share/crunch/charset.lst mixalpha | \ awk '{print "/api/v1/"$0"/config"}' > api_paths.txt提示:动态字典应配合响应时间延迟使用(--delay参数),避免触发速率限制
2.4 字典优化实战案例
假设目标使用ThinkPHP框架,我们可以创建复合字典:
基础框架路径
/application/admin/controller//public/static/js//thinkphp/library/
常见漏洞路径
/index.php?s=/index/\\think\\app/invokefunction/?s=admin/login/index
备份文件模式
*.zip*.tar.gz*.bak
最终通过以下命令合并去重:
cat thinkphp_*.txt | sort -u | grep -v '#' > thinkphp_final.txt3. 高级过滤:从噪音中提取信号
3.1 状态码智能过滤
Dirsearch默认会标记所有2xx和3xx响应,但实际场景中需要更精细的控制:
# 只关注特定状态码 dirsearch -u https://target.com -w custom_dict.txt \ -i 200,403,500 --exclude-status=404,302 # 排除特定大小的403响应(通常是无意义的权限错误) dirsearch -u https://target.com --exclude-sizes=1234,5678状态码组合策略示例:
| 场景 | 包含状态码 | 排除状态码 | 典型用途 |
|---|---|---|---|
| 后台探测 | 200,301 | 404,403 | 寻找管理入口 |
| 敏感文件扫描 | 200,206 | 302 | 部分内容泄露检测 |
| 接口枚举 | 401,403 | 500 | 未授权API端点发现 |
3.2 响应内容精准匹配
通过响应正文特征过滤无效结果:
# 排除包含特定文本的响应(如默认页面) dirsearch -u https://target.com --exclude-text="Welcome to nginx" # 使用正则表达式排除模板页面 dirsearch -u https://target.com --exclude-regex="<title>.*Error</title>" # 排除特定大小的响应(如默认图片) dirsearch -u https://target.com --exclude-sizes=5432,12345常见过滤模式参考:
- 登录页面特征:
/login、username/password、csrf_token - 默认页面特征:
Powered by、Copyright、Default Page - 错误页面特征:
404 Not Found、The page cannot be displayed
3.3 智能递归扫描策略
传统递归扫描会暴力遍历所有子目录,我们可以通过智能限制提升效率:
# 仅对关键目录递归(如/admin/) dirsearch -u https://target.com --subdirs=/admin/,/api/ # 排除无价值目录递归(如/static/) dirsearch -u https://target.com --exclude-subdirs=/static/,/images/ # 限制递归深度和响应类型 dirsearch -u https://target.com -R 2 --recursion-status=200,301递归扫描最佳实践:
- 首次扫描不使用递归,识别关键目录
- 对可疑路径进行有限深度递归(建议-R 2)
- 对API目录使用
--force-recursive强制递归
4. 实战:WordPress站点深度扫描
4.1 准备工作
创建专用字典:
# 核心路径 wget https://example.com/wordpress_paths.txt # 插件漏洞历史路径 grep -r "Plugin Name" /var/www/html/wp-content/plugins/ | \ awk -F':' '{print $1}' | xargs -I {} dirname {} | \ sort -u > wp_plugins.txt # 合并字典 cat wordpress_paths.txt wp_plugins.txt > wp_combined.txt4.2 精准扫描命令
dirsearch -u https://wp-site.com -w wp_combined.txt \ -e php,txt,zip --exclude-text="WordPress" \ --exclude-sizes=1234,5678 --subdirs=/wp-admin/,/wp-content/ \ -t 20 --delay=500 -i 200,403 --recursive --max-recursion-depth=2关键参数解析:
-e php,txt,zip:重点扫描可执行文件和备份--exclude-text="WordPress":过滤默认主题页面--delay=500:每个请求间隔500ms避免触发防护--max-recursion-depth=2:限制递归层数
4.3 结果分析技巧
有效路径通常具有以下特征:
- 非常规状态码组合(如403返回但内容长度异常)
- 响应时间明显长于其他路径(可能触发后台处理)
- 缺少常见框架标识(可能是自定义后台)
- 路径包含敏感关键词(admin、backup、config)
使用以下命令分析扫描结果:
# 按状态码分类 cat report.json | jq '.results[] | select(.status == 403)' # 查找特定内容长度的响应 cat report.json | jq '.results[] | select(.length > 1000 and .length < 1500)'5. 避坑清单与性能优化
5.1 常见错误解决方案
问题1:扫描结果大量重复
- 解决方案:使用
--remove-extensions参数统一路径格式
问题2:IP被目标封禁
- 解决方案:组合使用
--proxy和--random-agent,并降低线程数
问题3:漏报重要路径
- 解决方案:尝试不同HTTP方法
-m POST,配合--data 'key=value'
问题4:扫描速度过慢
- 优化方案:
# 先快速扫描短路径 dirsearch -u https://target.com -w quick.txt -t 50 --max-response-size=10000 # 再深度扫描可疑区域 dirsearch -u https://target.com -w deep.txt -t 10 --subdirs=/admin/
5.2 高级参数调优
性能优化参数组合:
| 场景 | 推荐参数 | 效果 |
|---|---|---|
| 规避WAF检测 | --delay=300 --random-agent | 降低请求频率,模拟真实用户 |
| 内网高速扫描 | -t 50 --timeout=3 | 提高并发,缩短超时 |
| 敏感接口探测 | -m POST --data 'key=val' | 绕过GET限制 |
| 隐藏路径发现 | --prefixes=/,/v1/ | 覆盖多种URL模式 |
5.3 日志与报告技巧
生成结构化报告并分析:
# 生成JSON报告 dirsearch -u https://target.com -o report.json --format=json # 使用jq提取关键信息 cat report.json | jq '.results[] | select(.status == 200) | .url'报告分析重点关注:
- 相同路径不同响应(可能存在的权限控制)
- 相似路径不同状态码(可能的路径遍历)
- 异常响应时间(可能的后端处理)
- 非常规文件类型(如.txt返回HTML内容)
