Căutați instrumente gratuite pentru a enumera directoarele și fișierele ascunse pe un server web? Iată cele mai bune instrumente Linux pentru spargerea directoarelor.

Recomandări cheie

  • Ruperea directoarelor este o tehnică esențială în hacking-ul etic pentru a descoperi directoare și fișiere ascunse pe un server web sau aplicație.
  • Linux oferă mai multe instrumente pentru spargerea directoarelor, cum ar fi DIRB, DirBuster, Gobuster, ffuf și dirsearch.
  • Aceste instrumente automatizează procesul de trimitere a solicitărilor HTTP către un server web și de ghicire a numelor de directoare pentru a găsi resurse care nu sunt afișate pe site-ul de navigare sau pe harta site-ului.

În etapa de recunoaștere a fiecărei aplicații web pentest, este esențial să găsiți posibile directoare pe aplicație. Aceste directoare ar putea conține informații și constatări semnificative care v-ar ajuta foarte mult să găsiți vulnerabilități în aplicație și să îmbunătățiți securitatea acesteia.

Din fericire, există instrumente pe internet care fac forțarea brută a directorului mai ușoară, automatizată și mai rapidă. Iată cinci instrumente de spargere a directoarelor pe Linux pentru a enumera directoare ascunse dintr-o aplicație web.

instagram viewer

Ce este Directory Bursting?

Rupere director, cunoscută și sub denumirea de „directory brute forcing”, este o tehnică folosită în hacking-ul etic pentru a descoperi directoare și fișiere ascunse pe un server web sau aplicație. Aceasta implică încercarea sistematică de a accesa diferite directoare prin ghicirea numelor acestora sau enumerarea printr-o listă de directoare comune și nume de fișiere.

Procesul de spargere a directorului implică, de obicei, utilizarea instrumentelor sau scripturilor automate care trimit solicitări HTTP către un server web, încercând diferite directoare și nume de fișiere pentru a găsi resurse care nu sunt legate în mod explicit sau nu sunt promovate în navigarea pe site sau harta site-ului.

Există sute de instrumente gratuite disponibile pe internet pentru a efectua spargerea directoarelor. Iată câteva instrumente gratuite pe care le puteți folosi în următorul test de penetrare:

1. DIRB

DIRB este un instrument popular de linie de comandă Linux folosit pentru scanarea și bruteforce directoare din aplicațiile web. Enumerează directoare posibile dintr-o listă de cuvinte în raport cu adresa URL a unui site web.

DIRB vine deja instalat pe Kali Linux. Cu toate acestea, dacă nu îl aveți instalat, nu aveți de ce să vă faceți griji. Aveți nevoie doar de o comandă simplă pentru ao instala.

Pentru distribuțiile bazate pe Debian, rulați:

sudo apt install dirb

Pentru distribuțiile Linux non-Debian, cum ar fi Fedora și CentOS, executați:

sudo dnf install dirb

Pe Arch Linux, rulați:

yay -S dirb

Cum să utilizați DIRB în directoarele Bruteforce

Sintaxa pentru efectuarea de forțare brută a directorului pe o aplicație web este:

dirb [url] [path to wordlist]

De exemplu, dacă ar fi să folosești forța brută https://example.com, aceasta ar fi comanda:

dirb https://example.com wordlist.txt

De asemenea, puteți rula comanda fără a specifica o listă de cuvinte. DIRB ar folosi fișierul implicit de listă de cuvinte, comun.txt, pentru a scana site-ul web.

dirb https://example.com

2. DirBuster

DirBuster este foarte asemănător cu DIRB. Diferența majoră este că DirBuster are o interfață grafică cu utilizatorul (GUI), spre deosebire de DIRB, care este un instrument de linie de comandă. DIRB vă permite să configurați directorul de scanări bruteforce după gust și să filtrați rezultatele după codul de stare și alți parametri interesanți.

De asemenea, puteți seta numărul de fire care determină viteza cu care doriți să ruleze scanările și extensiile de fișiere specifice pe care doriți să le caute aplicația.

Tot ce trebuie să faceți este să introduceți adresa URL țintă pe care doriți să o scanați, lista de cuvinte pe care doriți să o utilizați, extensiile de fișiere și numărul de fire (opțional), apoi faceți clic start.

Pe măsură ce scanarea progresează, DirBuster va afișa directoarele și fișierele descoperite în interfață. Puteți vedea starea fiecărei solicitări (de exemplu, 200 OK, 404 Nu a fost găsit) și calea articolelor descoperite. De asemenea, puteți salva rezultatele scanării într-un fișier pentru analize ulterioare. Acest lucru ar ajuta la documentarea constatărilor dvs.

DirBuster vine instalat pe Kali Linux, dar puteți cu ușurință instalați DirBuster pe Ubuntu.

3. Gobuster

Gobuster este un instrument de linie de comandă scris în Go folosit pentru a forța brută directoare și fișiere din site-uri web, deschideți găleți Amazon S3, subdomenii DNS, nume de gazdă virtuală pe serverele web țintă, servere TFTP etc.

Pentru a instala Gobuster pe distribuțiile Debian ale Linux precum Kali, rulați:

sudo apt install gobuster

Pentru familia RHEL de distribuții Linux, rulați;

sudo dnf install gobuster

Pe Arch Linux, rulați:

yay -S gobuster

Alternativ, dacă aveți Go instalat, rulați:

go install github.com/OJ/gobuster/v3@latest

Cum se folosește Gobuster

Sintaxa pentru utilizarea Gobuster la directoarele bruteforce din aplicațiile web este:

gobuster dir -u [url] -w [path to wordlist]

De exemplu, dacă doriți să activați directoarele bruteforce https://example.com, comanda ar arăta astfel:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf este un instrument de forțare brută a directorului și fuzzer web foarte rapid, scris în Go. Este foarte versatil și cunoscut în special pentru viteza și ușurința în utilizare.

Deoarece ffuf este scris în Go, trebuie să aveți Go 1.16 sau mai mare instalat pe computerul dvs. Linux. Verificați versiunea Go cu această comandă:

go version

Pentru a instala ffuf, rulați această comandă:

go install github.com/ffuf/ffuf/v2@latest

Sau puteți clona depozitul github și îl compilați folosind această comandă:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Cum să utilizați ffuf în directoarele Bruteforce

Sintaxa de bază pentru forțarea brută a directorului cu ffuf este:

ffuf -u [URL/FUZZ] -w [path to wordlist]

De exemplu, pentru a scana https://example.com, comanda ar fi:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch este un alt instrument de linie de comandă de forțare brută folosit pentru a enumera directoare dintr-o aplicație web. Este deosebit de apreciat datorită ieșirii sale colorate, în ciuda faptului că este o aplicație bazată pe terminal.

Puteți instala dirsearch prin pip rulând:

pip install dirsearch

Sau puteți clona depozitul GitHub rulând:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Cum să utilizați dirsearch în directoarele Bruteforce

Sintaxa de bază pentru utilizarea dirsearch în directoarele bruteforce este:

dirsearch -u [URL]

Pentru directoarele bruteforce activate https://example.com, tot ce trebuie să faci este:

dirsearch -u https://example.com

Nu există nicio îndoială că aceste instrumente vă vor economisi mult timp pe care l-ați fi petrecut manual încercând să ghiciți aceste directoare. În securitatea cibernetică, timpul este un mare atu, de aceea fiecare profesionist profită de instrumente open-source pentru a-și optimiza procesele zilnice.

Există mii de instrumente gratuite, în special pe Linux, pentru a vă face munca mai eficientă, tot ce trebuie să faceți este să explorați și să alegeți ce funcționează pentru dvs.!