GoBuster je nástroj vytvořený v jazyce Go, který lze použít pro brute forcing adresáře i brute forcing subdomény. Protože je GoBuster postaven na Go, musíme nejprve nainstalovat Go a poté nainstalovat nebo nakonfigurovat balíček GoBuster. Až do mého objevení Gobusteru jsem používal nástroje jako Nikto, Cadaver, Skipfish, WPScan, OWASP ZAP a DirBuster. Každý z těchto nástrojů má své silné a slabé stránky, ale nakonec všechny fungovaly téměř stejně s různými výsledky. Hledal jsem však něco, co bych mohl spustit z příkazového řádku a neobsahovalo to tlustého klienta ke spuštění.
Tehdy jsem narazil na Gobuster. Bylo to vše, co jsem hledal ve webovém výčtovém nástroji řízeném příkazovým řádkem. Mohu rychle přepínat mezi hrubým vynucením adresáře a výčtem virtuálních hostitelů. Můžu za běhu přepínat seznamy slov, nastavovat argumenty příkazového řádku pro provádění detekce souborů a nakonec upravovat počet vláken. Všechny tyto vlastnosti jsou důvodem, proč já osobně používám Gobuster během letních setkání.
Pokud při používání GoBuster narazíte na níže uvedenou chybu:
GoBuster: command not found
můžete zkusit nainstalovat níže uvedený balíček podle vaší volby distribuce.
| Distribuce | Příkaz |
|---|---|
| OS X | brew install gobuster |
| Debian | apt-get install gobuster |
| Ubuntu | apt-get install gobuster |
| Kali Linux | apt-get install gobuster |
Chcete-li zobrazit dostupné možnosti pomocí příkazu GoBuster:
Shrnutí
Gobuster lze použít k hrubému vynucení URI a subdomén DNS z příkazového řádku. (Pokud dáváte přednost grafickému uživatelskému rozhraní, podívejte se na Dirbuster OWASP.) V Gobusteru můžete použít seznamy slov pro běžné adresáře a subdomény k automatickému vyžádání každé položky v seznamu, odeslání položek na webový server a filtrování zajímavých odpovědí serveru. . Výsledky generované z Gobuster vám poskytnou cestu URL a kódy odpovědi stavu HTTP. (Zatímco můžete brutálně vynutit URI pomocí Intruder Burp Suite, Burp Community Edition je mnohem pomalejší než Gobuster.)