Gobuster
Описание Gobuster
Gobuster — это инструмент для брут-форса:
- URI (директорий и файлов) в веб-сайтах;
- DNS субдоменов (с поддержкой подстановочных символов);
- Имён виртуальных хостов на целевых веб-серверах.
Это инструмент командной строки, написанный на Go, он не выполняет рекурсивный брут-форс, позволяет одновременно брутфорсить папки и несколько расширений, компилируется на множестве платформ, работает быстрее интерпретируемых скриптов (таких как Python), не требует среду выполнения.
Домашняя страница: https://github.com/OJ/gobuster
Автор: OJ Reeves
Лицензия: Apache-2.0
Справка по Gobuster
Общие опции командной строки
- -fw — Принудительная обработка доменов при обнаружении поддержки групповых символов.
- -m <режим> — какой режим использовать, dir или dns (по умолчанию: dir)
- -q — отключить вывод банеров/линий
- -t <потоки> - количество одновременных потоков (по умолчанию: 10).
- -u <url/домен> — полный URL (включая схему) или базовое имя домена.
- -v — вербальный вывод (показывать все результаты).
- -w <словарь> — путь до используемого для брут-форса словаря.
Опции командной строки для режима dns
- -cn — показывать CNAME записи (не может использоваться с опцией '-i').
- -i — показывать в результате все IP адреса.
Опции командной строки для режима dir
- -a <строка пользовательского агента> — указать строку пользовательского агента для отправки в заголовках запросов.
- -c <http кукиз> — отправлять с каждым запросом эти кукиз (симулирование аутентификации).
- -e — расширенный режим, печатает полные URL.
- -f — добавлять / (слэш) для брут-форса директорий.
- -k — Пропустить верификацию SSL сертификатов.
- -l — показать длину ответа.
- -n — режим "без статуса", отключить вывод в результатах кода статуса.
- -o <файл> — имя файла для записи вывода.
- -p <proxy url> — прокси для использования со всем запросами (схема должна соответствовать URL схеме).
- -r — следовать редиректам.
- -s <коды статуса> — разделённый запятой набор из списка кодов статуса, которые считаются "положительными" (по умолчанию: 200,204,301,302,307).
- -x <расширения> — список расширений для проверки, можно не указывать.
- -P <пароль> - Пароль HTTP авторизации (только Basic Auth, если пропущено, появится запрос).
- -U <имя пользователя> - Имя пользователя HTTP авторизации (только Basic Auth).
Руководство по Gobuster
Страница man отсутствует.
Примеры запуска Gobuster
Просканировать в поисках директорий веб-сайт (-u http://192.168.0.155/) используя словарь (-w /usr/share/wordlists/dirb/common.txt) и печатать полные URL обнаруженных путей (-e):
gobuster -e -u http://192.168.0.155/ -w /usr/share/wordlists/dirb/common.txt Gobuster v1.2 OJ Reeves (@TheColonial) ===================================================== [+] Mode : dir [+] Url/Domain : http://192.168.0.155/ [+] Threads : 10 [+] Wordlist : /usr/share/wordlists/dirb/common.txt [+] Status codes : 301,302,307,200,204 [+] Expanded : true ===================================================== http://192.168.0.155/blog (Status: 301) http://192.168.0.155/index.html (Status: 200) http://192.168.0.155/index (Status: 200) http://192.168.0.155/photo (Status: 301) http://192.168.0.155/wordpress (Status: 301) =====================================================
Установка Gobuster
Установка в Kali Linux
sudo apt-get install gobuster
Информация об установке в другие операционные системы будет добавлена позже.
Comments are Closed