Linux

De 5 bästa Linux-verktygen för katalogbursting

By rik

Viktiga slutsatser

  • Kataloggenomsökning är en viktig metod inom etisk hacking för att identifiera gömda kataloger och filer på en webbserver eller applikation.
  • Linux erbjuder flera verktyg för kataloggenomsökning, bland annat DIRB, DirBuster, Gobuster, ffuf och dirsearch.
  • Dessa verktyg automatiserar processen att skicka HTTP-förfrågningar till en webbserver, och de gissar katalognamn för att hitta resurser som inte är synliga via webbplatsens navigering eller webbplatskartan.

VIDEO FRÅN MUO

SKROLLA FÖR ATT FORTSÄTTA LÄSA

I förberedande fasen av varje webbapplikationstest är det av största vikt att lokalisera potentiella kataloger på applikationen. Dessa kataloger kan innehålla värdefull information som kan hjälpa dig att hitta sårbarheter i applikationen och förbättra dess säkerhet.

Lyckligtvis finns det verktyg tillgängliga online som gör sökning efter kataloger enklare, automatiserad och snabbare. Här är fem verktyg för kataloggenomsökning på Linux som hjälper dig att lista dolda kataloger i en webbapplikation.

Vad är kataloggenomsökning?

Kataloggenomsökning, ibland kallat ”directory brute forcing”, är en teknik som används inom etisk hacking för att hitta dolda kataloger och filer på en webbserver eller applikation. Den innebär att man systematiskt försöker komma åt olika kataloger genom att gissa deras namn eller genom att använda en lista med vanliga katalog- och filnamn.

Själva processen med kataloggenomsökning innebär vanligen att man använder automatiserade verktyg eller skript som skickar HTTP-förfrågningar till en webbserver. Verktygen testar olika katalog- och filnamn för att hitta resurser som inte är tydligt länkade eller synliga via webbplatsens navigering eller webbplatskartan.

Det finns hundratals kostnadsfria verktyg på internet som kan utföra kataloggenomsökningar. Här är några kostnadsfria verktyg som du kan använda i din nästa penetrationstest:

1. DIRB

DIRB är ett vanligt kommandoradsverktyg för Linux som används för att genomsöka och söka efter kataloger på webbapplikationer. Det räknar upp möjliga kataloger från en ordlista mot en webbadress.

DIRB är redan installerat på Kali Linux. Men om du inte har det installerat är det inte svårt att åtgärda. Du behöver bara ett enkelt kommando för att installera det.

För Debian-baserade distributioner, kör:

 sudo apt install dirb

För icke-Debian Linux-distributioner som Fedora och CentOS, kör:

 sudo dnf install dirb

På Arch Linux, kör:

 yay -S dirb

Hur man använder DIRB för att söka efter kataloger

Syntaxen för att utföra kataloggenomsökning på en webbapplikation är:

 dirb [url] [sökväg till ordlista]

Om du till exempel vill söka på https://example.com, skulle kommandot vara:

 dirb https://example.com wordlist.txt

Du kan också köra kommandot utan att ange en ordlista. DIRB skulle då använda sin standardordlistfil, common.txt, för att genomsöka webbplatsen.

 dirb https://example.com

2. DirBuster

DirBuster liknar DIRB. Den största skillnaden är att DirBuster har ett grafiskt användargränssnitt (GUI), medan DIRB är ett kommandoradsverktyg. Med DirBuster kan du konfigurera kataloggenomsökningar efter dina behov och filtrera resultaten efter statuskod och andra relevanta parametrar.

Du kan också ange antalet trådar, vilket påverkar genomsökningshastigheten, och de specifika filtillägg du vill att programmet ska söka efter.

Allt du behöver göra är att ange målwebbadressen, ordlistan du vill använda, filtilläggen och antalet trådar (valfritt), och sedan klicka på Start.

När genomsökningen fortskrider kommer DirBuster att visa de upptäckta katalogerna och filerna i gränssnittet. Du kan se status för varje begäran (t.ex. 200 OK, 404 Not Found) och sökvägen för de upptäckta objekten. Du kan även spara genomsökningsresultaten i en fil för vidare analys. Detta kan vara till hjälp när du dokumenterar dina resultat.

DirBuster är installerat på Kali Linux, men du kan enkelt installera DirBuster på Ubuntu.

3. Gobuster

Gobuster är ett kommandoradsverktyg skrivet i Go som används för att söka efter kataloger och filer på webbplatser, öppna Amazon S3-hinkar, DNS-underdomäner, virtuella värdnamn på målwebbservrar, TFTP-servrar med mera.

För att installera Gobuster på Debian-distributioner av Linux som Kali, kör:

 sudo apt install gobuster

För RHEL-familjen av Linux-distributioner, kör:

 sudo dnf install gobuster

På Arch Linux, kör:

 yay -S gobuster

Alternativt, om du har Go installerat, kör:

 go install github.com/OJ/gobuster/v3@latest

Hur man använder Gobuster

Syntaxen för att använda Gobuster för att söka efter kataloger i webbapplikationer är:

 gobuster dir -u [url] -w [sökväg till ordlista]

Om du till exempel vill söka efter kataloger på https://example.com, skulle kommandot se ut så här:

 gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf är ett snabbt verktyg för webbfuzzing och kataloggenomsökning, skrivet i Go. Det är mycket mångsidigt och känt för sin snabbhet och användarvänlighet.

Eftersom ffuf är skrivet i Go måste du ha Go 1.16 eller senare installerat på din Linux-dator. Kontrollera din Go-version med detta kommando:

 go version

För att installera ffuf, kör detta kommando:

 go install github.com/ffuf/ffuf/v2@latest

Eller så kan du klona GitHub-förvaret och kompilera det med det här kommandot:

 git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build

Hur man använder ffuf för att söka efter kataloger

Den grundläggande syntaxen för kataloggenomsökning med ffuf är:

 ffuf -u [URL/FUZZ] -w [sökväg till ordlista]

För att till exempel genomsöka https://example.com, skulle kommandot vara:

 ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch är ett annat kommandoradsverktyg som används för att lista kataloger i en webbapplikation. Det är populärt på grund av sin färgglada utdata trots att det är en terminalbaserad applikation.

Du kan installera dirsearch via pip genom att köra:

 pip install dirsearch

Eller så kan du klona GitHub-förvaret genom att köra:

 git clone https://github.com/maurosoria/dirsearch.git --depth 1

Hur man använder dirsearch för att söka efter kataloger

Den grundläggande syntaxen för att använda dirsearch för att söka efter kataloger är:

 dirsearch -u [URL]

För att söka efter kataloger på https://example.com behöver du bara:

 dirsearch -u https://example.com

Dessa verktyg kommer utan tvekan att spara mycket tid som du annars skulle ha lagt på att manuellt gissa kataloger. Inom cybersäkerhet är tid en viktig resurs, och det är därför alla proffs utnyttjar verktyg med öppen källkod för att effektivisera sina dagliga processer.

Det finns tusentals kostnadsfria verktyg, särskilt på Linux, som kan göra ditt arbete mer effektivt. Allt du behöver göra är att utforska och välja det som fungerar bäst för dig!

De bästa AI-konstgeneratorerna för att skapa konst från foton

Hur man installerar ett internt ljudkort på din dator