Etsitkö ilmaisia työkaluja piilotettujen hakemistojen ja tiedostojen luetteloimiseen verkkopalvelimella? Tässä ovat parhaat Linux-työkalut hakemistojen purkamiseen.
Key Takeaways
- Hakemistojen purkaminen on olennainen tekniikka eettisessä hakkeroinnissa piilotettujen hakemistojen ja tiedostojen löytämiseksi verkkopalvelimesta tai sovelluksesta.
- Linux tarjoaa useita työkaluja hakemistojen purkamiseen, kuten DIRB, DirBuster, Gobuster, ffuf ja dirsearch.
- Nämä työkalut automatisoivat HTTP-pyyntöjen lähettämisen verkkopalvelimelle ja hakemistojen nimien arvaamisen löytääkseen resursseja, joita ei mainosteta verkkosivuston navigaatiossa tai sivustokartassa.
Jokaisen verkkosovelluksen pentestin tiedusteluvaiheessa on välttämätöntä löytää sovelluksesta mahdolliset hakemistot. Näissä hakemistoissa saattaa olla merkittäviä tietoja ja löydöksiä, jotka auttavat sinua löytämään sovelluksen haavoittuvuuksia ja parantamaan sen suojausta.
Onneksi Internetissä on työkaluja, jotka tekevät hakemistojen raa'asta pakotuksesta helpompaa, automatisoitua ja nopeampaa. Tässä on viisi Linuxin hakemistojen purkamistyökalua verkkosovelluksen piilotettujen hakemistojen luetteloimiseksi.
Mikä on hakemistojen purkaminen?
Hakemisto räjähtää, joka tunnetaan myös nimellä "hakemistojen raa'a pakottaminen", on tekniikka, jota käytetään eettisessä hakkeroinnissa piilotettujen hakemistojen ja tiedostojen löytämiseksi verkkopalvelimelta tai -sovellukselta. Se sisältää systemaattisen yrittämisen päästä käsiksi eri hakemistoihin arvaamalla niiden nimet tai luetteloimalla luettelon yleisistä hakemistoista ja tiedostonimistä.
Hakemiston purkamiseen liittyy tyypillisesti automaattisten työkalujen tai komentosarjojen käyttäminen, jotka lähettävät HTTP-pyyntöjä verkkopalvelimelle. eri hakemistoja ja tiedostonimiä löytääksesi resursseja, joita ei ole nimenomaisesti linkitetty tai mainostettu verkkosivuston navigaatiossa tai sivustokartta.
Internetissä on satoja ilmaisia työkaluja hakemistojen purkamiseen. Tässä on joitain ilmaisia työkaluja, joita voit käyttää seuraavassa läpäisytestissäsi:
1. DIRB
DIRB on suosittu Linux-komentorivityökalu, jota käytetään verkkosovellusten hakemistojen skannaamiseen ja raa'aseen voimaan. Se luettelee mahdolliset hakemistot sanaluettelosta verkkosivuston URL-osoitteeseen.
DIRB on jo asennettu Kali Linuxiin. Jos sinulla ei kuitenkaan ole sitä asennettuna, ei ole syytä huoleen. Tarvitset vain yksinkertaisen komennon asentaaksesi sen.
Suorita Debian-pohjaisissa jakeluissa:
sudo apt install dirb
Muille kuin Debianin Linux-jakeluille, kuten Fedora ja CentOS, suorita:
sudo dnf install dirb
Suorita Arch Linuxissa:
yay -S dirb
Kuinka käyttää DIRB: tä Bruteforce-hakemistoihin
Syntaksi hakemistojen raa'an pakottamisen suorittamiseen verkkosovelluksessa on:
dirb [url] [path to wordlist]
Esimerkiksi, jos aiot tehdä raa'an voiman https://example.com, tämä olisi komento:
dirb https://example.com wordlist.txt
Voit myös suorittaa komennon määrittämättä sanaluetteloa. DIRB käyttäisi oletussanalistatiedostoaan, common.txt, skannataksesi verkkosivuston.
dirb https://example.com
2. DirBuster
DirBuster on hyvin samanlainen kuin DIRB. Suurin ero on, että DirBusterilla on graafinen käyttöliittymä (GUI) toisin kuin DIRB, joka on komentorivityökalu. DIRB: n avulla voit määrittää hakemistojen bruteforce-skannaukset makusi mukaan ja suodattaa tulokset tilakoodin ja muiden mielenkiintoisten parametrien mukaan.
Voit myös määrittää säikeiden lukumäärän, joka määrittää nopeuden, jolla haluat tarkistuksen suoritettavan, ja tietyt tiedostopäätteet, joita haluat sovelluksen etsivän sinua.
Sinun tarvitsee vain kirjoittaa kohde-URL-osoite, jonka haluat skannata, sanaluettelo, jota haluat käyttää, tiedostopäätteet ja säikeiden lukumäärä (valinnainen) ja napsauta sitten alkaa.
Skannauksen edetessä DirBuster näyttää löydetyt hakemistot ja tiedostot käyttöliittymässä. Näet jokaisen pyynnön tilan (esim. 200 OK, 404 Ei löydy) ja löydettyjen kohteiden polun. Voit myös tallentaa skannaustulokset tiedostoon lisäanalyysiä varten. Tämä auttaisi dokumentoimaan löydösi.
DirBuster on asennettu Kali Linuxiin, mutta voit helposti asenna DirBuster Ubuntuun.
3. Gobuster
Gobuster on Go-kielellä kirjoitettu komentorivityökalu, jota käytetään verkkosivustojen hakemistojen ja tiedostojen bruteforce-käyttöön, Open Amazon S3 -ämpäriin, DNS-aliverkkotunnuksiin, Virtual Host -nimiin kohdeverkkopalvelimille, TFTP-palvelimille jne.
Asenna Gobuster Linuxin Debian-jakeluihin, kuten Kali, suorittamalla:
sudo apt install gobuster
RHEL-perheen Linux-jakeluille suorita;
sudo dnf install gobuster
Suorita Arch Linuxissa:
yay -S gobuster
Vaihtoehtoisesti, jos sinulla on Go asennettuna, suorita:
go install github.com/OJ/gobuster/v3@latest
Kuinka käyttää Gobusteria
Syntaksi Gobusterin käyttämiselle hakemistojen bruteforce-käyttöön web-sovelluksissa on:
gobuster dir -u [url] -w [path to wordlist]
Jos esimerkiksi haluat käyttää bruteforce-hakemistoja https://example.com, komento näyttäisi tältä:
gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt
4. ffuf
ffuf on erittäin nopea web-fuzzer ja hakemistojen raa'an pakottavan työkalu, joka on kirjoitettu Go: lla. Se on erittäin monipuolinen ja erityisesti tunnettu nopeudestaan ja helppokäyttöisyydestään.
Koska ffuf on kirjoitettu Go-kielellä, sinulla on oltava Go 1.16 tai uudempi asennettuna Linux-tietokoneellesi. Tarkista Go-versiosi tällä komennolla:
go version
Asenna ffuff suorittamalla tämä komento:
go install github.com/ffuf/ffuf/v2@latest
Tai voit kloonata github-arkiston ja kääntää sen tällä komennolla:
git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build
Kuinka käyttää ffufia Bruteforce-hakemistoihin
Hakemiston raa'an pakottamisen perussyntaksi ffuffilla on:
ffuf -u [URL/FUZZ] -w [path to wordlist]
Esimerkiksi skannaamaan https://example.com, komento olisi:
ffuf -u https://example.com/FUZZ -w wordlist.txt
5. dirsearch
dirsearch on toinen raa'an pakottavan komentorivityökalu, jota käytetään verkkosovelluksen hakemistojen luetteloimiseen. Se on erityisen suosittu sen värikkään tulostuksen vuoksi, vaikka se on päätepohjainen sovellus.
Voit asentaa dirsearchin pipin kautta suorittamalla:
pip install dirsearch
Tai voit kloonata GitHub-arkiston suorittamalla:
git clone https://github.com/maurosoria/dirsearch.git --depth 1
Kuinka käyttää hakua Bruteforce-hakemistoihin
Perussyntaksi dirsearchin käyttämiselle bruteforce-hakemistoihin on:
dirsearch -u [URL]
Raakavoimainen hakemistot päälle https://example.com, sinun tarvitsee vain:
dirsearch -u https://example.com
Ei ole epäilystäkään siitä, että nämä työkalut säästävät paljon aikaa, jonka olisit käyttänyt manuaalisesti yrittäessäsi arvata näitä hakemistoja. Kyberturvallisuudessa aika on suuri voimavara, minkä vuoksi jokainen ammattilainen hyödyntää avoimen lähdekoodin työkaluja päivittäisten prosessiensa optimointiin.
Erityisesti Linuxissa on tuhansia ilmaisia työkaluja, jotka tekevät työstäsi tehokkaampaa. Sinun tarvitsee vain tutkia ja valita, mikä toimii sinulle!