Etsitkö ilmaisia ​​työkaluja piilotettujen hakemistojen ja tiedostojen luetteloimiseen verkkopalvelimella? Tässä ovat parhaat Linux-työkalut hakemistojen purkamiseen.

Key Takeaways

  • Hakemistojen purkaminen on olennainen tekniikka eettisessä hakkeroinnissa piilotettujen hakemistojen ja tiedostojen löytämiseksi verkkopalvelimesta tai sovelluksesta.
  • Linux tarjoaa useita työkaluja hakemistojen purkamiseen, kuten DIRB, DirBuster, Gobuster, ffuf ja dirsearch.
  • Nämä työkalut automatisoivat HTTP-pyyntöjen lähettämisen verkkopalvelimelle ja hakemistojen nimien arvaamisen löytääkseen resursseja, joita ei mainosteta verkkosivuston navigaatiossa tai sivustokartassa.

Jokaisen verkkosovelluksen pentestin tiedusteluvaiheessa on välttämätöntä löytää sovelluksesta mahdolliset hakemistot. Näissä hakemistoissa saattaa olla merkittäviä tietoja ja löydöksiä, jotka auttavat sinua löytämään sovelluksen haavoittuvuuksia ja parantamaan sen suojausta.

Onneksi Internetissä on työkaluja, jotka tekevät hakemistojen raa'asta pakotuksesta helpompaa, automatisoitua ja nopeampaa. Tässä on viisi Linuxin hakemistojen purkamistyökalua verkkosovelluksen piilotettujen hakemistojen luetteloimiseksi.

Mikä on hakemistojen purkaminen?

Hakemisto räjähtää, joka tunnetaan myös nimellä "hakemistojen raa'a pakottaminen", on tekniikka, jota käytetään eettisessä hakkeroinnissa piilotettujen hakemistojen ja tiedostojen löytämiseksi verkkopalvelimelta tai -sovellukselta. Se sisältää systemaattisen yrittämisen päästä käsiksi eri hakemistoihin arvaamalla niiden nimet tai luetteloimalla luettelon yleisistä hakemistoista ja tiedostonimistä.

Hakemiston purkamiseen liittyy tyypillisesti automaattisten työkalujen tai komentosarjojen käyttäminen, jotka lähettävät HTTP-pyyntöjä verkkopalvelimelle. eri hakemistoja ja tiedostonimiä löytääksesi resursseja, joita ei ole nimenomaisesti linkitetty tai mainostettu verkkosivuston navigaatiossa tai sivustokartta.

Internetissä on satoja ilmaisia ​​työkaluja hakemistojen purkamiseen. Tässä on joitain ilmaisia ​​työkaluja, joita voit käyttää seuraavassa läpäisytestissäsi:

1. DIRB

DIRB on suosittu Linux-komentorivityökalu, jota käytetään verkkosovellusten hakemistojen skannaamiseen ja raa'aseen voimaan. Se luettelee mahdolliset hakemistot sanaluettelosta verkkosivuston URL-osoitteeseen.

DIRB on jo asennettu Kali Linuxiin. Jos sinulla ei kuitenkaan ole sitä asennettuna, ei ole syytä huoleen. Tarvitset vain yksinkertaisen komennon asentaaksesi sen.

Suorita Debian-pohjaisissa jakeluissa:

sudo apt install dirb

Muille kuin Debianin Linux-jakeluille, kuten Fedora ja CentOS, suorita:

sudo dnf install dirb

Suorita Arch Linuxissa:

yay -S dirb

Kuinka käyttää DIRB: tä Bruteforce-hakemistoihin

Syntaksi hakemistojen raa'an pakottamisen suorittamiseen verkkosovelluksessa on:

dirb [url] [path to wordlist]

Esimerkiksi, jos aiot tehdä raa'an voiman https://example.com, tämä olisi komento:

dirb https://example.com wordlist.txt

Voit myös suorittaa komennon määrittämättä sanaluetteloa. DIRB käyttäisi oletussanalistatiedostoaan, common.txt, skannataksesi verkkosivuston.

dirb https://example.com

2. DirBuster

DirBuster on hyvin samanlainen kuin DIRB. Suurin ero on, että DirBusterilla on graafinen käyttöliittymä (GUI) toisin kuin DIRB, joka on komentorivityökalu. DIRB: n avulla voit määrittää hakemistojen bruteforce-skannaukset makusi mukaan ja suodattaa tulokset tilakoodin ja muiden mielenkiintoisten parametrien mukaan.

Voit myös määrittää säikeiden lukumäärän, joka määrittää nopeuden, jolla haluat tarkistuksen suoritettavan, ja tietyt tiedostopäätteet, joita haluat sovelluksen etsivän sinua.

Sinun tarvitsee vain kirjoittaa kohde-URL-osoite, jonka haluat skannata, sanaluettelo, jota haluat käyttää, tiedostopäätteet ja säikeiden lukumäärä (valinnainen) ja napsauta sitten alkaa.

Skannauksen edetessä DirBuster näyttää löydetyt hakemistot ja tiedostot käyttöliittymässä. Näet jokaisen pyynnön tilan (esim. 200 OK, 404 Ei löydy) ja löydettyjen kohteiden polun. Voit myös tallentaa skannaustulokset tiedostoon lisäanalyysiä varten. Tämä auttaisi dokumentoimaan löydösi.

DirBuster on asennettu Kali Linuxiin, mutta voit helposti asenna DirBuster Ubuntuun.

3. Gobuster

Gobuster on Go-kielellä kirjoitettu komentorivityökalu, jota käytetään verkkosivustojen hakemistojen ja tiedostojen bruteforce-käyttöön, Open Amazon S3 -ämpäriin, DNS-aliverkkotunnuksiin, Virtual Host -nimiin kohdeverkkopalvelimille, TFTP-palvelimille jne.

Asenna Gobuster Linuxin Debian-jakeluihin, kuten Kali, suorittamalla:

sudo apt install gobuster

RHEL-perheen Linux-jakeluille suorita;

sudo dnf install gobuster

Suorita Arch Linuxissa:

yay -S gobuster

Vaihtoehtoisesti, jos sinulla on Go asennettuna, suorita:

go install github.com/OJ/gobuster/v3@latest

Kuinka käyttää Gobusteria

Syntaksi Gobusterin käyttämiselle hakemistojen bruteforce-käyttöön web-sovelluksissa on:

gobuster dir -u [url] -w [path to wordlist]

Jos esimerkiksi haluat käyttää bruteforce-hakemistoja https://example.com, komento näyttäisi tältä:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf on erittäin nopea web-fuzzer ja hakemistojen raa'an pakottavan työkalu, joka on kirjoitettu Go: lla. Se on erittäin monipuolinen ja erityisesti tunnettu nopeudestaan ​​ja helppokäyttöisyydestään.

Koska ffuf on kirjoitettu Go-kielellä, sinulla on oltava Go 1.16 tai uudempi asennettuna Linux-tietokoneellesi. Tarkista Go-versiosi tällä komennolla:

go version

Asenna ffuff suorittamalla tämä komento:

go install github.com/ffuf/ffuf/v2@latest

Tai voit kloonata github-arkiston ja kääntää sen tällä komennolla:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Kuinka käyttää ffufia Bruteforce-hakemistoihin

Hakemiston raa'an pakottamisen perussyntaksi ffuffilla on:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Esimerkiksi skannaamaan https://example.com, komento olisi:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch on toinen raa'an pakottavan komentorivityökalu, jota käytetään verkkosovelluksen hakemistojen luetteloimiseen. Se on erityisen suosittu sen värikkään tulostuksen vuoksi, vaikka se on päätepohjainen sovellus.

Voit asentaa dirsearchin pipin kautta suorittamalla:

pip install dirsearch

Tai voit kloonata GitHub-arkiston suorittamalla:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Kuinka käyttää hakua Bruteforce-hakemistoihin

Perussyntaksi dirsearchin käyttämiselle bruteforce-hakemistoihin on:

dirsearch -u [URL]

Raakavoimainen hakemistot päälle https://example.com, sinun tarvitsee vain:

dirsearch -u https://example.com

Ei ole epäilystäkään siitä, että nämä työkalut säästävät paljon aikaa, jonka olisit käyttänyt manuaalisesti yrittäessäsi arvata näitä hakemistoja. Kyberturvallisuudessa aika on suuri voimavara, minkä vuoksi jokainen ammattilainen hyödyntää avoimen lähdekoodin työkaluja päivittäisten prosessiensa optimointiin.

Erityisesti Linuxissa on tuhansia ilmaisia ​​työkaluja, jotka tekevät työstäsi tehokkaampaa. Sinun tarvitsee vain tutkia ja valita, mikä toimii sinulle!