PathProber:基于暴力破解方法探测和发现HTTP路径名
发布时间 - 2021-10-27 16:58:33 点击率:763次
关于PathProber
PathProber是一款功能强大的HTTP路径发现工具,该工具基于暴力破解的方法来探测和发现HTTP路径名,并能够过滤掉特殊单词,或一次性处理两个单词。
现在已经不需要再使用HTTP响应码来执行网站目录爆破或HTTP路径名爆破了,该工具可以帮助广大研究人员执行渗透测试,因为它可以使用特定单词或一次性使用两个单词来验证目录/路径的有效性,而且结果会更加精准。
该工具可以帮助我们找出下列内容:
Web管理员/登录面板;
某些路径的凭证;
第三方令牌;
其他有价值的内容;
工具安装
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/xchopath/pathprober cd pathprober/
依赖组件安装
pip3 install -r requirements.txt
功能支持
支持多个URL目标(写入以换行符分隔的文件中)或单个URL目标;
支持多个路径(写入以换行符分隔的文件中)或单个路径;
一次性1个单词或2个单词(过滤器);
将有效结果保存到另一个文件;
多线程支持;
工具帮助
bash:~/pathprober$ python3 pathprober.py --help ___ ____ ___ _ _ ___ ____ ____ ___ ____ ____ |__] |__| | |__| |__] |__/ | | |__] |___ |__/ | | | | | | | | \ |__| |__] |___ | \ Probe HTTP pathname filtered by words usage: pathprober.py [-h] [-t https://example.com] [-p pathname] [-T target.txt] [-P path.txt] [-w Word] [-w2 Word] [-o output.txt] PathProber - Probe and discover HTTP pathname using brute-force methodology and filtered by specific word or 2 words at once optional arguments: -h, --help show this help message and exit -t https://example.com Single website target -p pathname Single pathname -T target.txt Multiple target separated by newline -P path.txt Multiple pathname separated by newline -w Word A word that you want to find in a path -w2 Word A second word that you want to find in a path -o output.txt Save the results to file
工具使用
多个目标,多个路径和多个单词
python3 pathprober.py -T target.txt -P path.txt -w "APP_NAME" -w2 "DB_PASSWORD"
单个目标,多个路径和单个单词
python3 pathprober.py -t https://redacted.com/ -P path.txt -w "APP_NAME"
多个目标,单个类路径,多个单词,并将结果存储至文件
python3 pathprober.py -T target.txt -p /.env -w "APP_NAME" -w2 "TWILIO" -o output.txt
工具演示样例
项目地址
PathProber:【GitHub传送门】
转载自FreeBuf.COM
最新文章
第十二版《网络安全企业100强》发布
开源推荐算法为什么并不“可靠”?
虹膜写真风靡年轻人:小心泄露敏感个人信息
国内最大IT社区CSDN被挂马,CDN可能是罪魁祸首?
Apache Struts文件上传漏洞 (CVE-2024-53677) 安全风险通告
工信部:关于防范新型勒索病毒Ymir的风险提示
美国报告揭示俄罗斯战略信息攻击:从攻击方法到战略效果
最危险的网络攻击:云勒索软件
个人信息保护合规审计:个人信息删除落地与审计
Forrester:Akamai创新微分段技术引领企业安全升级,实现 152%高ROI
Fortinet发布《2025年网络威胁趋势预测报告》 揭秘四大威胁挑战
榜上有名!360入选2024年天津市网络安全应用场景优秀案例
只需一个暗号,即可戳穿语音克隆骗局
写在IDCC2024数字基础设施国际合作大会之前
IETF的运行方式及RFC的形成
《AI时代深度伪造和合成媒体的安全威胁与对策(2024版)》报告发布
UnitedHealth勒索软件攻击事件应吸取的六个备份教训
网络安全产品奥斯卡 2024年度赛可达优秀产品奖(SKD AWARDS)
“危“”机“并存,五位网络安全大咖预警2025年安全态势
赋能智算未来,CDCE2024国际数据中心展12月5日上海璀璨开幕
俄罗斯黑客组织渗透和利用巴基斯坦黑客组织服务器案揭秘
国家安全部:警惕开源信息成为泄密源头
“清朗·网络平台算法典型问题治理”专项行动中的排名算法
游戏玩家请注意!Winos4.0木马已“潜伏”
2024 DAMS中国数据智能管理峰会即将在上海举办
WAF气数已尽?
网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
数字城市AI安全运营中心签约揭牌,360赋能长三角城市安全新篇章
勒索软件忙招人,2024年网络威胁五大新趋势
360发布全球首份《大模型安全漏洞报告》,曝光近40个大模型相关安全漏洞
值得关注的十二大网络安全风险评估工具及选型指南
俄黑客通过“近邻攻击”远程入侵美国企业WiFi网络
四校签约、六家授牌!360与河南高校再摘网络安全人才培育新果实
Apple多个在野高危漏洞在野利用通告
苹果官方警告:零日漏洞攻击瞄准Mac电脑用户
《密码法》颁布五周年:法治成效、实施难点与未来走向
27天!揭秘身份管理中凭证修复为何如此艰难?
微软“清理门户”,禁止杀毒软件访问Windows内核
云原生环境下的七大网络安全威胁及应对建议
透析恶意软件“四大家族”
客服1 