情景導入

先簡單介紹一下dirsearch有啥用。

假如你現在訪問一個網站，例如https://www.example.com/?

它是一個電商平臺或者其他功能性質的平臺。

站在開發者的角度上思考，我們只指導https://www.example.com/?但不知道它下面有什么文件，文件名叫什么，文件各式是什么，可能有/admin后臺文件，也可能有/config.php 配置文件等。

dirsearch具體特點以及能做什么

1、可以利用它來發現一些隱藏資源。許多網站會將一些重要的、不希望公開的目錄和文件隱藏起來，如后臺管理頁面、配置文件、備份文件等。Dirsearch 可以通過字典掃描的方式，嘗試訪問各種可能的路徑，從而發現這些隱藏的資源。

2、隱藏的目錄和文件中可能包含一些安全漏洞或敏感信息，這些信息可以成為攻擊者入侵網站的切入點。比如，某些舊版本的軟件備份文件可能存在已知的安全漏洞，攻擊者可以通過這些漏洞來攻擊網站。

具體操作（小白）

1、先對dirsearch進行安裝

2、其次這個命令可以幫助我們查看它有什么參數，其中 -u 參數指定目標網站，-e 參數指定要掃描的后綴名。

3、可以看到我對www.example.com網站下的php，json，txt文件在進行掃描。

Starting代表正在掃描。

可以看到狀態碼，200說明我們可以進入。其次還有響應大小等。

進階操作

1、通過 -w 參數指定字典，如：

dirsearch -u http://www.example.com -w /path/to/your/wordlist.txt

2、忽略擴展名和目錄

dirsearch -u http://www.example.com --ignore-ext json,jpg --ignore-dir admin,uploads

3、設置超時時間

dirsearch -u http://www.example.com -t 30

4、遞歸掃描網站子目錄，對其暴力破解

dirsearch -u http://www.example.com -r