ابزارامنیتوب

آموزش ابزار gobuster

امروزه یکی از مباحث داغ در دنیای تست نفوذ وب، کسب درآمد ازطریق bug bounty می‌باشد. که محققین تست نفوذ با استفاده از ابزار های مختلف اقدام به اسکن سایت برای بیرون کشیدن اطلاعات مهم یا کشف آسیب پذیری در زیردامنه یا دایرکتوری های مختلف می‌نمایند که ممکن است در آنها فایل های مهم یا آسیب پذیری هایی وجود داشته باشد. در این آموزش در مورد ابزار gobuster برای شما پستی آماده کردیم تا در مورد این ابزار اطاعات بیشتری داشته باشید.

 دلیل اینکه دایرکتوری ها مهم هستند چیست؟

یک طراح سایت هنگامی که درحال دسته بندی مطالب یا منابع وبسایت است، آنهارا بصورت پوشه ای طبقه بندی می‌کند و سپس از یکی از سایت های میزبان وب (hosting) استفاده می‌کند و آن پوشه ها و منابع را روی حافظه ای که سایت میزبان ارائه می‌دهد آپلود می‌کند،حال اگر ما دایرکتوری های یک سایت را به وسیله‌ی ابزار اسکن کنیم درواقع در حال جستجو روی پوشه های سایت در سرور میزبان هستیم و در این بین ممکن است به اطلاعات جالبی بر بخوریم!

بیشتر بخوانید:

اگر در مورد Bug Bunty اطلاعاتی ندارید پست Bug Bunty را مطالعه کنید

ابزار gobuster چیست؟

gobuster یک جستجوگر DNS ،هاست مجازی(Vhost) و Directory می‌باشد. ابزار gobuster با استفاده از زبان برنامه نویس Go نوشته شده است که با استفاده از wordlist سایت مورد نظر را اسکن می‌کند.

آموزش دانلود و نصب gobuster

این ابزار را می‌تواند از سایت github دانلود کنید.(لینک ابزار)

نصب با استفاده از پکیج منیجر لینوکس(debian):

با دستور زیر می‌توانید بصورت مستقیم با استفاده از پکیج منیجر این ابزار را دانلود و نصب کنید.

sudo apt install gobuster

نصب با استفاده از گیت:

با استفاده از git اقدام به دانلود کنید.(بصورت دستی نیز می‌توانید دانلود را انجام دهید.)

git clone https://github.com/OJ/gobuster.git

سپس با دستور زیر نصب خواهد شد.

sudo apt install golang-go;cd gobuster;go get && go build;go install

پس از نصب، دستور gobuster را در ترمینال وارد کنید، اگر نحوه‌ی استفاده نمایش داده شد(عکس زیر) یعنی باموفقیت نصب شده، در غیراینصورت، دوباره اقدام به نصب کنید.

gobuster

راهنمای استفاده از ابزار gobuster :

حالت dir:

در این حالت gobuster با استفاده ازwordlist دایرکتوری هایی که در آن موجود است را نمایش می‌دهد.

آپشن های مختلف این حالت را می‌توانید در عکس زیر مشاهده کنید:

gobuster_dir_mode

برای مثال:

gobuster dir -u http://target.com -w wordlist.txt -x .html,.php,.zip

در مثال بالا به وسیله‌ی حالت dir دایرکتوری های سایت target.com را درصورتی که اسم آنها با کلماتی که در فایلی به نام wordlist.txt یکی باشد را نمایش می‌دهد، و به دنبال فایل هایی با پسوند zip,php,html با نام های موجود در wordlist می‌گردد.

آپشن های دیگر را می‌توانید با استفاده از تصویر امتحان کنید.

حالت dns:

در این حالت gobuster روی زیردامنه ها (subdomains) متمرکز می‌شود.

با استفاده از دستور زیر راهنمای مربوط به این حالت نمایش داده می‌شود.

gobuster help dns

آپشن های مختلف این حالت را می‌توانید در تصویر زیر مشاهده کنید.

gobuster_dns_mode

برای مثال:

gobuster dns -d target.com -w wordlist.txt

حالت vhost:

در این مود می‌توانید میزبان های مجازی که سایت استفاده می‌کند را مشاهده کنید.(mail , wiki,…)

آپشن های مختلف این مود را می‌توانید با دستور زیر مشاهده کنید.

gobuster help vhost

gobuster_vhost_mode

برای مثال:

gobuster vhost -u https://target.com -w vhostlists.txt

 wordlist های معروف:

dirbuster wordlists

seclist

توصیه می‌شود بعد از کسب تجربه، wordlist های خصوصی خودتان را بسازید، چون هم در وقت صرفه جویی می‌شود و هم به خودتان افتخار می‌کنید!

نوشته های مشابه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

همچنین ببینید
بستن
دکمه بازگشت به بالا