Tražite besplatne alate za nabrajanje skrivenih direktorija i datoteka na web poslužitelju? Ovdje su najbolji Linux alati za pucanje direktorija.

Ključni zahvati

  • Probijanje direktorija bitna je tehnika u etičkom hakiranju za otkrivanje skrivenih direktorija i datoteka na web poslužitelju ili aplikaciji.
  • Linux nudi nekoliko alata za pucanje direktorija, kao što su DIRB, DirBuster, Gobuster, ffuf i dirsearch.
  • Ovi alati automatiziraju proces slanja HTTP zahtjeva web-poslužitelju i pogađanje naziva direktorija kako bi se pronašli resursi koji se ne reklamiraju na navigaciji ili karti web-mjesta.

U fazi izviđanja svakog pentesta web aplikacije bitno je pronaći moguće direktorije na aplikaciji. Ovi direktoriji mogu sadržavati značajne informacije i nalaze koji bi vam uvelike pomogli da pronađete ranjivosti u aplikaciji i poboljšate njezinu sigurnost.

Srećom, na internetu postoje alati koji grubo traženje imenika čine lakšim, automatiziranim i bržim. Evo pet alata za pucanje direktorija u Linuxu za nabrajanje skrivenih direktorija na web aplikaciji.

instagram viewer

Što je Directory Bursting?

Imenik puca, također poznat kao "brute forcing imenika", tehnika je koja se koristi u etičkom hakiranju za otkrivanje skrivenih direktorija i datoteka na web poslužitelju ili aplikaciji. Uključuje sustavni pokušaj pristupa različitim direktorijima pogađanjem njihovih imena ili nabrajanjem kroz popis uobičajenih direktorija i naziva datoteka.

Proces razbijanja direktorija obično uključuje korištenje automatiziranih alata ili skripti koje šalju HTTP zahtjeve web poslužitelju, pokušavajući različite direktorije i nazive datoteka za pronalaženje resursa koji nisu izričito povezani ili oglašeni u navigaciji web stranice ili sitemap.

Na internetu su dostupne stotine besplatnih alata za provođenje razbijanja imenika. Evo nekoliko besplatnih alata koje možete koristiti u sljedećem testu prodora:

1. UPUTSTVO

DIRB je popularan Linux alat za naredbeni redak koji se koristi za skeniranje i bruteforce direktorija na web aplikacijama. Nabraja moguće direktorije s popisa riječi u odnosu na URL web stranice.

DIRB već dolazi instaliran na Kali Linux. Međutim, ako ga nemate instaliran, nema razloga za brigu. Potrebna vam je samo jednostavna naredba za instalaciju.

Za distribucije temeljene na Debianu, pokrenite:

sudo apt install dirb

Za distribucije Linuxa koje nisu Debian kao što su Fedora i CentOS, izvršite:

sudo dnf install dirb

Na Arch Linuxu pokrenite:

yay -S dirb

Kako koristiti DIRB za Bruteforce direktorije

Sintaksa za izvođenje brute forsinga direktorija na web aplikaciji je:

dirb [url] [path to wordlist]

Na primjer, ako biste koristili bruteforce https://example.com, ovo bi bila naredba:

dirb https://example.com wordlist.txt

Također možete pokrenuti naredbu bez navođenja popisa riječi. DIRB bi koristio svoju zadanu datoteku popisa riječi, zajednički.txt, za skeniranje web stranice.

dirb https://example.com

2. DirBuster

DirBuster je vrlo sličan DIRB-u. Glavna razlika je u tome što DirBuster ima grafičko korisničko sučelje (GUI) za razliku od DIRB-a koji je alat naredbenog retka. DIRB vam omogućuje da konfigurirate bruteforce skeniranje imenika po svom ukusu i filtrirate rezultate prema statusnom kodu i drugim zanimljivim parametrima.

Također možete postaviti broj niti određujući brzinu kojom želite da se skeniranja izvode i specifične ekstenzije datoteka za koje želite da aplikacija traži umjesto vas.

Sve što trebate učiniti je unijeti ciljni URL koji želite skenirati, popis riječi koji želite koristiti, ekstenzije datoteka i broj niti (izborno), a zatim kliknite Početak.

Kako skeniranje napreduje, DirBuster će prikazati otkrivene direktorije i datoteke u sučelju. Možete vidjeti status svakog zahtjeva (npr. 200 OK, 404 Not Found) i put otkrivenih stavki. Također možete spremiti rezultate skeniranja u datoteku za daljnju analizu. To bi pomoglo dokumentirati vaše nalaze.

DirBuster dolazi instaliran na Kali Linux, ali možete lako instalirajte DirBuster na Ubuntu.

3. Gobuster

Gobuster je alat naredbenog retka napisan u Go koji se koristi za bruteforce direktorije i datoteke na web-mjestima, Open Amazon S3 segmente, DNS poddomene, imena virtualnih hostova na ciljnim web poslužiteljima, TFTP poslužiteljima itd.

Da biste instalirali Gobuster na Debian distribucije Linuxa kao što je Kali, pokrenite:

sudo apt install gobuster

Za RHEL obitelj distribucija Linuxa, pokrenite;

sudo dnf install gobuster

Na Arch Linuxu pokrenite:

yay -S gobuster

Alternativno, ako imate instaliran Go, pokrenite:

go install github.com/OJ/gobuster/v3@latest

Kako koristiti Gobuster

Sintaksa za korištenje Gobustera za bruteforce direktorija u web aplikacijama je:

gobuster dir -u [url] -w [path to wordlist]

Na primjer, ako želite bruteforce direktorije uključiti https://example.com, naredba bi izgledala ovako:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf je vrlo brz web fuzzer i alat za grubo forsiranje imenika napisan u Go. Vrlo je svestran i osobito poznat po svojoj brzini i jednostavnosti korištenja.

Budući da je ffuf napisan u Go-u, morate imati Go 1.16 ili noviji instaliran na vašem računalu s Linuxom. Provjerite svoju Go verziju ovom naredbom:

go version

Da biste instalirali ffuf, pokrenite ovu naredbu:

go install github.com/ffuf/ffuf/v2@latest

Ili možete klonirati github repozitorij i prevesti ga pomoću ove naredbe:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Kako koristiti ffuf za Bruteforce direktorije

Osnovna sintaksa za grubo forsiranje imenika pomoću ffuf je:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Na primjer, za skeniranje https://example.com, naredba bi bila:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch je još jedan grubi alat naredbenog retka koji se koristi za nabrajanje direktorija na web aplikaciji. Osobito se sviđa zbog svog šarenog ispisa unatoč tome što je aplikacija temeljena na terminalu.

Možete instalirati dirsearch putem pip-a pokretanjem:

pip install dirsearch

Ili možete klonirati GitHub repozitorij pokretanjem:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Kako koristiti dirsearch za Bruteforce direktorije

Osnovna sintaksa za korištenje dirsearcha za bruteforce direktorije je:

dirsearch -u [URL]

Za bruteforce direktorije https://example.com, sve što trebate učiniti je:

dirsearch -u https://example.com

Nema sumnje da će vam ovi alati uštedjeti mnogo vremena koje biste potrošili ručno pokušavajući pogoditi te direktorije. U kibernetičkoj sigurnosti vrijeme je velika vrijednost, zato svaki profesionalac koristi prednosti alata otvorenog koda za optimizaciju svojih dnevnih procesa.

Postoje tisuće besplatnih alata, posebno na Linuxu, kako bi vaš rad bio učinkovitiji, sve što trebate učiniti je istražiti i odabrati ono što vam odgovara!