Gobuster

21 марта 2019 в Web Applications

Описание пакета Gobuster

Gobuster - инструмент, используемый для грубой силы:

  • URI (каталоги и файлы) на веб-сайтах.
  • Поддомены DNS (с поддержкой подстановочных знаков).

Потому что я хотел:

  • то, что не было толстого Java GUI (консоль FTW).
  • построить что-то, что просто работало в командной строке.
  • то, что не делало рекурсивной грубой силы.
  • что-то, что позволило мне сразу перебирать папки и несколько расширений.
  • то, что скомпилировано в native на нескольких платформах.
  • что-то, что было быстрее, чем интерпретируемый скрипт (такой как Python).
  • что-то, что не требует времени выполнения.
  • использовать что-то, что было хорошо с параллелизмом (следовательно, Go)
  • создать что-то в Go, что не было полностью бесполезным.

Инструменты, включенные в пакет gobuster

gobuster - каталог / файл и инструмент для уничтожения DNS, написанный на Go

root@kali:~# gobuster -h
      Usage of gobuster:
        -P string
              Password for Basic Auth (dir mode only)
        -U string
              Username for Basic Auth (dir mode only)
        -a string
              Set the User-Agent string (dir mode only)
        -c string
              Cookies to use for the requests (dir mode only)
        -e    Expanded mode, print full URLs
        -f    Append a forward-slash to each directory request (dir mode only)
        -fw
              Force continued operation when wildcard found (dns mode only)
        -i    Show IP addresses (dns mode only)
        -l    Include the length of the body in the output (dir mode only)
        -m string
              Directory/File mode (dir) or DNS mode (dns) (default "dir")
        -n    Don't print status codes
        -p string
              Proxy to use for requests [http(s)://host:port] (dir mode only)
        -q    Don't print the banner and other noise
        -r    Follow redirects
        -s string
              Positive status codes (dir mode only) (default "200,204,301,302,307")
        -t int
              Number of concurrent threads (default 10)
        -u string
              The target URL or Domain
        -v    Verbose output (errors)
        -w string
              Path to the wordlist
        -x string
              File extension(s) to search for (dir mode only)

Примеры использования gobuster

Сканируйте веб-сайт (-u http://192.168.0.155/) на наличие каталогов, используя список слов (-w /usr/share/wordlists/dirb/common.txt) и печатайте полные URL-адреса обнаруженных путей (-e):

root@kali:~# gobuster -e -u http://192.168.0.155/ -w /usr/share/wordlists/dirb/common.txt
      
      Gobuster v1.2                OJ Reeves (@TheColonial)
      =====================================================
      [+] Mode         : dir
      [+] Url/Domain   : http://192.168.0.155/
      [+] Threads      : 10
      [+] Wordlist     : /usr/share/wordlists/dirb/common.txt
      [+] Status codes : 301,302,307,200,204
      [+] Expanded     : true
      =====================================================
      http://192.168.0.155/blog (Status: 301)
      http://192.168.0.155/index.html (Status: 200)
      http://192.168.0.155/index (Status: 200)
      http://192.168.0.155/photo (Status: 301)
      http://192.168.0.155/wordpress (Status: 301)
      =====================================================