Leder du efter gratis værktøjer til at opregne skjulte mapper og filer på en webserver? Her er de bedste Linux-værktøjer til mappesprængning.

Nøgle takeaways

  • Directory bursting er en vigtig teknik i etisk hacking for at opdage skjulte mapper og filer på en webserver eller applikation.
  • Linux tilbyder flere værktøjer til directory bursting, såsom DIRB, DirBuster, Gobuster, ffuf og dirsearch.
  • Disse værktøjer automatiserer processen med at sende HTTP-anmodninger til en webserver og gætte mappenavne for at finde ressourcer, der ikke annonceres på webstedets navigation eller sitemap.

I rekognosceringsfasen af ​​hver webapplikationstest er det vigtigt at finde mulige mapper på applikationen. Disse mapper kan indeholde væsentlige oplysninger og resultater, som vil hjælpe dig meget med at finde sårbarheder i applikationen og forbedre dens sikkerhed.

Heldigvis er der værktøjer på internettet, der gør directory brute-forcering nemmere, automatiseret og hurtigere. Her er fem mappe-sprængende værktøjer på Linux til at opregne skjulte mapper på en webapplikation.

instagram viewer

Hvad er Directory Bursting?

Directory brister, også kendt som "directory brute forcing", er en teknik, der bruges i etisk hacking til at opdage skjulte mapper og filer på en webserver eller applikation. Det indebærer systematisk at forsøge at få adgang til forskellige mapper ved at gætte deres navne eller opregne gennem en liste over almindelige mapper og filnavne.

Processen med directory bursting involverer typisk brug af automatiserede værktøjer eller scripts, der sender HTTP-anmodninger til en webserver, forskellige mapper og filnavne for at finde ressourcer, der ikke er eksplicit linket eller annonceret på webstedets navigation eller sitemap.

Der er hundredvis af gratis værktøjer tilgængelige på internettet til at udføre mappesprængning. Her er nogle gratis værktøjer, du kan bruge i din næste penetrationstest:

1. DIRB

DIRB er et populært Linux-kommandolinjeværktøj, der bruges til at scanne og bruteforce-mapper på webapplikationer. Den opregner mulige mapper fra en ordliste mod en hjemmeside-URL.

DIRB kommer allerede installeret på Kali Linux. Men hvis du ikke har det installeret, er der intet at bekymre sig om. Du skal bare bruge en simpel kommando for at installere den.

For Debian-baserede distributioner, kør:

sudo apt install dirb

For ikke-Debian Linux-distributioner som Fedora og CentOS, udfør:

sudo dnf install dirb

På Arch Linux skal du køre:

yay -S dirb

Sådan bruges DIRB til Bruteforce-mapper

Syntaksen for at udføre directory brute forcering på en webapplikation er:

dirb [url] [path to wordlist]

For eksempel hvis du skulle bruteforce https://example.com, dette ville være kommandoen:

dirb https://example.com wordlist.txt

Du kan også køre kommandoen uden at angive en ordliste. DIRB ville bruge sin standard ordlistefil, almindelig.txt, for at scanne hjemmesiden.

dirb https://example.com

2. DirBuster

DirBuster minder meget om DIRB. Den største forskel er, at DirBuster har en grafisk brugergrænseflade (GUI) i modsætning til DIRB, som er et kommandolinjeværktøj. DIRB giver dig mulighed for at konfigurere mappen bruteforce-scanninger efter din smag og filtrere resultaterne efter statuskode og andre interessante parametre.

Du kan også indstille antallet af tråde, der bestemmer den hastighed, du ønsker, at scanningerne skal køre med, og de specifikke filtypenavne, du ønsker, at programmet skal søge efter dig.

Alt du skal gøre er at indtaste den mål-URL du vil scanne, den ordliste du vil bruge, filtypenavnene og antallet af tråde (valgfrit), og klik derefter på Start.

Efterhånden som scanningen skrider frem, vil DirBuster vise de opdagede mapper og filer i grænsefladen. Du kan se status for hver anmodning (f.eks. 200 OK, 404 ikke fundet) og stien til de opdagede elementer. Du kan også gemme scanningsresultaterne i en fil til yderligere analyse. Dette vil hjælpe med at dokumentere dine resultater.

DirBuster kommer installeret på Kali Linux, men du kan nemt installer DirBuster på Ubuntu.

3. Gobuster

Gobuster er et kommandolinjeværktøj skrevet i Go, der bruges til at bruteforce mapper og filer på websteder, åbne Amazon S3 buckets, DNS-underdomæner, virtuelle værtsnavne på målwebservere, TFTP-servere osv.

For at installere Gobuster på Debian-distributioner af Linux som Kali, kør:

sudo apt install gobuster

For RHEL-familien af ​​Linux-distributioner, kør;

sudo dnf install gobuster

På Arch Linux skal du køre:

yay -S gobuster

Alternativt, hvis du har Go installeret, skal du køre:

go install github.com/OJ/gobuster/v3@latest

Sådan bruger du Gobuster

Syntaksen for at bruge Gobuster til at bruteforce mapper i webapplikationer er:

gobuster dir -u [url] -w [path to wordlist]

For eksempel, hvis du vil bruteforce mapper på https://example.com, kommandoen ville se sådan ud:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf er et meget hurtigt web fuzzer og directory brute-forcing værktøj skrevet i Go. Den er meget alsidig og især kendt for sin hurtighed og brugervenlighed.

Da ffuf er skrevet i Go, skal du have Go 1.16 eller nyere installeret på din Linux-pc. Tjek din Go-version med denne kommando:

go version

For at installere ffuf skal du køre denne kommando:

go install github.com/ffuf/ffuf/v2@latest

Eller du kan klone github-lageret og kompilere det ved hjælp af denne kommando:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Sådan bruges ffuf til Bruteforce-mapper

Den grundlæggende syntaks for directory brute forcering med ffuf er:

ffuf -u [URL/FUZZ] -w [path to wordlist]

For eksempel at scanne https://example.com, kommandoen ville være:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch er et andet brute-forcing kommandolinjeværktøj, der bruges til at opregne mapper på en webapplikation. Det er især elsket på grund af dets farverige output på trods af at det er et terminalbaseret program.

Du kan installere dirsearch via pip ved at køre:

pip install dirsearch

Eller du kan klone GitHub-lageret ved at køre:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Sådan bruges dirsearch til Bruteforce-mapper

Den grundlæggende syntaks for at bruge dirsearch til bruteforce mapper er:

dirsearch -u [URL]

Til at bruteforce mapper på https://example.com, alt du skal gøre er:

dirsearch -u https://example.com

Der er ingen tvivl om, at disse værktøjer vil spare dig for en masse tid, du ville have brugt manuelt på at forsøge at gætte disse mapper. Inden for cybersikkerhed er tid et stort aktiv, det er grunden til, at enhver professionel drager fordel af open source-værktøjer til at optimere deres daglige processer.

Der er tusindvis af gratis værktøjer, især på Linux for at gøre dit arbejde mere effektivt, alt du skal gøre er at udforske og vælge, hvad der virker for dig!