关于ZenBuster
ZenBuster是一款功能强大的多线程跨平台URL枚举工具,该工具基于Python开发,同时还具备暴力破解功能。
该工具适用于安全专业人员,可以在渗透测试或CTF比赛中为广大研究人员提供帮助,并收集和目标相关的各种信息。
工具功能
1、该工具能够对子域名和URI资源(目录/文件)进行爆破和枚举;
2、需要使用适当的字典文件;
3、主机名格式支持标准格式、IPv4和IPv6;
4、支持将结果记录到文件中(-o [filename]);
5、使用-p选项为非标准Web服务器指定自定义端口;
6、支持静默模式(-q);
7、可以指定需要忽略的HTTP状态码;
8、测试Python版本为3.9和3.10,理论上支持3.6及更高版本Python;
工具安装
首先,我们需要确保本地设备上已经安装并配置好了Python 3.6+环境,接下来,可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/0xTas/zenbuster.git
依赖组件
安装完成后,使用cd命令切换到项目目录下,并利用pip命令和项目提供的requirements.txt文件来安装该工具所需的依赖组件:
cd zenbuster pip install -r requirements.txt
工具使用
安装好该工具所需的依赖组件之后,我们就可以通过下列方式来运行ZenBuster了。
Linux(macOS):
./zenbuster.py [options] python3 zenbuster.py [options]
Windows:
python zenbuster.py [options]
工具参数选项
命令缩写 | 完整命令 | 命令描述 |
-h | --help | 显示工具帮助信息 |
-d | --dirs | 启用目录枚举模式 |
-s | -ssl | 强制使用HTTPS |
-v | --verbose | 启用Verbose模式 |
-q | --quiet | 开启静默模式运行 |
-nc | --no-color | 禁用颜色高亮显示 |
-ic <codes> | --ignore-codes | 查看需要排除的状态码列表 |
-u <hostname> | --host | 待扫描的目标主机 |
-w <wordlist> | --wordlist | 字典文件路径 |
-p <port#> | --port | 针对非标准Web服务器的自定义端口选项 |
-o [filename] | --out-file | 扫描结果输出文件路径 |
工具使用演示
./zenbuster.py -d -w /usr/share/wordlists/dirb/common.txt -u target.thm -v
python3 zenbuster.py -w ../subdomains.txt --host target.thm --ssl -O myResults.log
zenbuster -w subdomains.txt -u target.thm --quiet -ic 400, 403
工具更新
cd zenbuster git pull
许可证协议
本项目的开发与发布遵循GPL-3.0开源许可证协议。
项目地址
ZenBuster:【GitHub传送门】
参考资料
https://twitter.com/0xTas http://www.asciiworld.com/+-joan_stark_jgs-+.html http://www.asciiworld.com/+-hayley_jane_wakenshaw_hjw-+.html