71 个稳定版本

2.10.4	2024年6月16日
2.10.1	2023年11月9日
2.10.0	2023年5月6日
2.9.2	2023年3月18日
0.2.1	2020年10月3日

#102 in Web 编程

523 每月下载量

MIT 许可证

800KB
15K SLoC

用 Rust 编写的一个简单、快速、递归的内容发现工具

demo

🦀 发布 ✨ 示例用法 ✨ 贡献 ✨ 文档 🦀

✨🎉👉 新的文档站点 👈🎉✨

🚀 文档已迁移 🚀

之前有一个1300行的 README.md (抱歉...), feroxbuster 的文档已迁移到 GitHub Pages。将文档托管在 Pages 上应该会使查找所需信息变得更加容易。请查看，以获取有关快速入门之外的信息。新的文档可以在此处找到。

😕 那么什么是 ferox 呢？

Ferox 是氧化铁的简称。氧化铁简单来说就是锈。由于“rustbuster”这个名字已经被占用，所以我决定使用一个变体。 🤷

🤔 它到底做什么呢？

feroxbuster 是一个用于执行强制浏览的工具。

强制浏览是一种攻击，其目的是枚举和访问 Web 应用程序未引用但攻击者可以访问的资源。

feroxbuster 结合暴力破解和单词表在目标目录中搜索未链接的内容。这些资源可能存储有关 Web 应用程序和操作系统的敏感信息，例如源代码、凭证、内部网络寻址等...

这种攻击也称为可预测资源定位、文件枚举、目录枚举和资源枚举。

⏳ 快速入门

本节将介绍启动feroxbuster所需的最基本信息。请参阅文档，它提供了更全面的信息。

💿 安装

存在许多其他安装方法，但以下片段应能覆盖大多数用户。

Kali

如果您使用kali，这是首选的安装方法。从仓库安装会添加一个位于/etc/feroxbuster/的ferox-config.toml，为bash、fish和zsh添加命令补全，包括一个man页面条目，并安装feroxbuster。

sudo apt update && sudo apt install -y feroxbuster

Linux (32位和64位) & MacOS

安装到特定目录

curl -sL https://raw.githubusercontent.com/epi052/feroxbuster/main/install-nix.sh | bash -s $HOME/.local/bin

安装到当前工作目录

curl -sL https://raw.githubusercontent.com/epi052/feroxbuster/main/install-nix.sh | bash

MacOS通过Homebrew

brew install feroxbuster

Windows x86_64

Invoke-WebRequest https://github.com/epi052/feroxbuster/releases/latest/download/x86_64-windows-feroxbuster.exe.zip -OutFile feroxbuster.zip
Expand-Archive .\feroxbuster.zip
.\feroxbuster\feroxbuster.exe -V

Windows通过Winget

winget install epi052.feroxbuster

Windows通过Chocolatey

choco install feroxbuster

所有其他操作系统

请参阅文档。

更新feroxbuster（v2.9.1中新增）

./feroxbuster --update

🧰 示例用法

以下是一些简要示例以帮助您入门。请注意，feroxbuster的功能远不止以下列出，因此文档中有更多示例，以及突出显示特定功能的演示gif。

多个值

接受多个值的选项非常灵活。以下是一些指定扩展名的方法

./feroxbuster -u http://127.1 -x pdf -x js,html -x php txt json,docx

上面的命令将.pdf、.js、.html、.php、.txt、.json和.docx添加到每个url

上述所有方法（多个标志、空格分隔、逗号分隔等）都是有效的，可以互换使用。url、headers、状态码、查询和大小过滤器也是如此。

包含头信息

./feroxbuster -u http://127.1 -H Accept:application/json "Authorization: Bearer {token}"

启用INFO级别日志的IPv6非递归扫描

./feroxbuster -u http://[::1] --no-recursion -vv

从STDIN读取url；仅将结果url输出到另一个工具

cat targets | ./feroxbuster --stdin --silent -s 200 301 302 --redirects -x js | fff -s 200 -o js-files

通过Burp代理流量

./feroxbuster -u http://127.1 --insecure --proxy http://127.0.0.1:8080

通过SOCKS代理代理流量（包括DNS查找）

./feroxbuster -u http://127.1 --proxy socks5h://127.0.0.1:9050

通过查询参数传递认证令牌

./feroxbuster -u http://127.1 --query token=0123456789ABCDEF

🚀 文档已迁移 🚀

实际上，README中有超过1300行，但所有内容都已移至新文档网站。去看看吧！

✨🎉👉 文档 👈🎉✨

贡献者 ✨

感谢以下这些出色的人（表情符号键）

_{Joona Hoikkala} 📖	_{J Savage} 🚇 📖	_{Thomas Gotwig} 🚇 📖	_Spike 🚇 📖	_{Evan Richter} 💻 📖	_AG 🤔 📖	_{Nicolas Thumann} 💻 📖
_{Tom Matthews} 📖	_bsysop 📖	_{布莱恩·赛泽摩尔} 💻	_{亚历山大·赞尼} 🚇 📖	_克雷格 🚇	_EONRaider 🚇	_wtwver 🚇
_Tib3rius 🐛	_0xdf 🐛	_secure-77 🐛	_{索菲·布朗} 🚇	_black-A 🤔	_{尼古拉斯·克拉萨斯} 🤔	_N0ur5 🤔 🐛
_mchill 🐛	_Naman 🐛	_{阿尤布·艾拉希} 🐛	_亨利 🐛	_SleepiPanda 🐛	_{Bad Requests} 🐛	_{多米尼克·中村} 🚇
_{穆罕默德·阿桑} 🐛	_cortantief 🐛 💻	_{丹尼尔·萨克斯顿} 🤔 💻	_n0kovo 🤔 🐛	_{贾斯汀·史蒂文} 🤔	_7047payloads 💻	_{unkn0wnsyst3m} 🤔
_0x08 🤔	_kusok 🤔 💻	_godylockz 🤔 💻	_{莱安·蒙哥马利} 🤔	_ippsec 🤔	_詹姆斯 🐛	_{贾森·哈迪克斯} 🤔 🐛
_Limn0 🐛	_0xdf 🐛 🤔	_Flangyver 🤔	_PeakyBlinder 🤔	_后现代 🤔	_O 💻	_{约翰-约翰·特德罗} 💻
_kmanc 🐛 💻	_hakdogpinas 🤔	_多可悲 🤔	_{艾丹·霍尔} 💻 🚇 🤔	_{若昂·西奥卡} 🐛 🤔	_f3rn0s 🐛	_LongCat 🤔
_xaeroborg 🤔	_Luoooio 🤔	_Aan 💻 🚇 🤔	_西蒙 🐛	_{尼古拉斯·克里斯汀} 🐛	_DrDv 🐛	_{安托万·罗利} 🤔
_{希马德里·巴塔查里亚} 💻 🤔	_{萨米·拉法} 🤔	_sectroyer 🐛 🤔	_ktecv2000 🐛	_{安德烈亚·德·穆尔塔斯} 💻	_sawmj 🐛	_{扎克·汉森} 🐛
_{奥利弗·塞尔韦洛} 🤔	_RavySena 🤔	_{弗洛里安·施图尔曼} 🐛	_先生7F 🤔	_manugramm 🐛	_ArthurMuraro 🐛	_Shadow 🐛
_dirhamgithub 🐛	_FieldOfRice 🚇	_Matt 🤔	_{Sam Leonard} 💻	_Rewinter 🤔	_deadloot 🤔	_Spidle 🤔
_{Julián Gómez} 🤔 🚇 📖	_Petros 🐛	_Ryan 🚇 📖	_{wikamp-collaborator} 🤔 🚇	_Lino 🐛	_{Dan Salmon} 🤔	_swordfish0x0 🤔