You are here: Home » Веб приложения » Gobuster

Gobuster

Описание Gobuster

Gobuster — это инструмент для брут-форса:

  • URI (директорий и файлов) в веб-сайтах.
  • DNS субдоменов (с поддержкой подстановочных символов).

Это инструмент командной строки, написанный на Go, он не выполняет рекурсивный брут-форс, позволяет одновременно брутфорсить папки и несколько расширений, компилируется на множестве платформ, работает быстрее интерпретируемых скриптов (таких как Python), не требует среду выполнения.

Домашняя страница: https://github.com/OJ/gobuster

Автор: OJ Reeves

Лицензия: Apache-2.0

Справка по Gobuster

Общие опции командной строки

  • -fw — Принудительная обработка доменов при обнаружении поддержки групповых символов.
  • -m <режим> — какой режим использовать, dir или dns (по умолчанию: dir)
  • -q — отключить вывод банеров/линий
  • -t <потоки> - количество одновременных потоков (по умолчанию: 10).
  • -u <url/домен> — полный URL (включая схему) или базовое имя домена.
  • -v — вербальный вывод (показывать все результаты).
  • -w <словарь> — путь до используемого для брут-форса словаря.

Опции командной строки для режима dns

  • -cn — показывать CNAME записи (не может использоваться с опцией '-i').
  • -i — показывать в результате все IP адреса.

Опции командной строки для режима dir

  • -a <строка пользовательского агента> — указать строку пользовательского агента для отправки в заголовках запросов.
  • -c <http кукиз> — отправлять с каждым запросом эти кукиз (симулирование аутентификации).
  • -e — расширенный режим, печатает полные URL.
  • -f — добавлять / (слэш) для брут-форса директорий.
  • -k — Пропустить верификацию SSL сертификатов.
  • -l — показать длину ответа.
  • -n — режим "без статуса", отключить вывод в результатах кода статуса.
  • -o <файл> — имя файла для записи вывода.
  • -p <proxy url> — прокси для использования со всем запросами (схема должна соответствовать URL схеме).
  • -r — следовать редиректам.
  • -s <коды статуса> — разделённый запятой набор из списка кодов статуса, которые считаются "положительными" (по умолчанию: 200,204,301,302,307).
  • -x <расширения> — список расширений для проверки, можно не указывать.
  • -P <пароль> - Пароль HTTP авторизации (только Basic Auth, если пропущено, появится запрос).
  • -U <имя пользователя> - Имя пользователя HTTP авторизации (только Basic Auth).

Руководство по Gobuster

Страница man отсутствует.

Примеры запуска Gobuster

Просканировать в поисках директорий веб-сайт (-u http://192.168.0.155/) используя словарь (-w /usr/share/wordlists/dirb/common.txt) и печатать полные URL обнаруженных путей (-e):

gobuster -e -u http://192.168.0.155/ -w /usr/share/wordlists/dirb/common.txt

Gobuster v1.2                OJ Reeves (@TheColonial)
=====================================================
[+] Mode         : dir
[+] Url/Domain   : http://192.168.0.155/
[+] Threads      : 10
[+] Wordlist     : /usr/share/wordlists/dirb/common.txt
[+] Status codes : 301,302,307,200,204
[+] Expanded     : true
=====================================================
http://192.168.0.155/blog (Status: 301)
http://192.168.0.155/index.html (Status: 200)
http://192.168.0.155/index (Status: 200)
http://192.168.0.155/photo (Status: 301)
http://192.168.0.155/wordpress (Status: 301)
=====================================================

Установка Gobuster

Установка в Kali Linux

sudo apt-get install gobuster

Информация об установке в другие операционные системы будет добавлена позже.

Скриншоты Gobuster

Инструкции по Gobuster

Близкие программы:

Рекомендуемые статьи: