Lib.rs

Web编程
#web-apps #url-path #applications #txt #word-list #discover #scraper

app barrido

用于发现Web应用程序路径的工具

Eloy 所有。

4个版本 (2个破坏性版本)

0.3.2 2020年10月15日
0.2.1 2020年9月12日
0.2.0 2020年9月12日
0.1.0 2020年2月9日

#12 in #discover

AGPL-3.0

125KB
2.5K SLoC

barrido

Crates.io Crates.io

控制台实用程序,用于查找Web应用程序路径。

仍处于alpha版本。

示例

多个URL暴力破解

$ cat urls.txt
https://target.a.com
https://target.b.com
https://target.c.com
$ barrido urls.txt wordlists/quickhits.txt -se | tee curious_paths.txt
https://target.c.com/manager/ 401
https://target.a.com/.git 200
https://target.b.com/phpinfo 200

使用爬虫的单个URL暴力破解

$ barrido https://scrapabble.com wordlists/raft-small-directories-lowercase.txt --scraper
/index
/help
/customers/faqs
/webmaster/login
/api/js/retrieve_session_token

用法

$ ./target/release/barrido -h
barrido 0.1
Discover them all!

USAGE:
    barrido [FLAGS] [OPTIONS] <url> <wordlist>

FLAGS:
    -l, --body-length         Show the discovered paths with the response code
    -e, --expand-path         Return paths with the complete url
        --follow-redirects    Follow HTTP redirections
    -h, --help                Prints help information
    -k, --insecure            Allow insecure connections when using SSL
    -p, --progress            Show the progress of requests
        --scraper             Scrap for new paths in responses
    -s, --status              Show the discovered paths with the response code
    -V, --version             Prints version information
    -v                        Verbosity

OPTIONS:
    -H, --header <header>...               Headers to send in request
        --invalid-codes <invalid-codes>    Response codes which are invalid
        --invalid-regex <invalid-regex>    Regex to match invalid responses
        --exact-length <length>            Exact length of responses
        --max-length <max-length>          Maximum length in responses
        --min-length <min-length>          Minimum length in responses
        --no-exact-length <no-length>      Exact length of invalid responses
    -o, --out-file <out-file>              File to write results (json format)
    -x, --proxy <proxy>                    Specify proxy in format: http[s]://<host>[:<port>]
    -t, --threads <threads>                Number of threads [default: 10]
        --timeout <timeout>                HTTP requests timeout [default: 10]
    -A, --user-agent <user-agent>          Set custom User-Agent [default: barrido]
        --valid-codes <valid-codes>        Response codes which are valid [default: 200,204,301,302,307,401,403]

ARGS:
    <url>         url to load
    <wordlist>    list of paths

安装

从crates.io

cargo install barrido
barrido -h

从源

git clone https://gitlab.com/Zer1t0/barrido.git
cd ./barrido
cargo build --release
./target/release/barrido -h

功能

  • 单个URL暴力破解
  • 多个URL暴力破解
  • 爬虫发现
  • 基于以下内容的响应过滤器
    • 状态码
    • 正则表达式
    • 长度
  • 执行初始化时不会显示打扰性的横幅

类似工具

依赖

~24–35MB
~607K SLoC