Dirbuster — многопоточный сканер веб-приложений, написанный на java. Dirbuster предустановлен в Kali Linux. Давайте разберемся, как использовать DirBuster на Kali Linux и Windows.
Еще по теме: Как взломать веб-сервер на Windows и Apache через SSRF
Что такое Dirbuster
Инструмент предназначен для сканирования каталогов сайта. Тулза очень похожа на инструмент DIRB, но у нее есть большое преимущество — многопоточность. Можно сказать, Dirbuster — это многопоточный аналог DIRB с графическим интерфейсом.
Установка Dirbuster на Linux
В Kali Linux он предустановлен, но если вы используете другой дистрибутив Linux, вот, как его установить.
Шаг 1: Установите Git:
1 |
sudo apt install git |
Шаг 2: Проверьте установлена ли Java:
1 |
java -version |
Шаг 3: Установите Java:
1 |
sudo apt install default-jre |
Шаг 4: Клонируйте репозиторий:
1 |
git clone https://gitlab.com/kalilinux/packages/dirbuster.git |
Шаг 4: Переместите dirbuster в каталог opt:
1 |
sudo mv dirbuster /opt |
Шаг 5: Создайте новый файл для алиасов (если у вас его еще нет):
1 |
sudo nano ~/.bash_aliases |
Шаг 6: Добавьте в файл новый псевдоним:
1 |
alias dirbuster='source /opt/dirbuster /DirBuster-1.0-RC1.sh' |
Шаг 7: Чтобы изменения вступили в силу перезапустите терминала / ssh или выполните команду:
1 |
source ~/.bash_aliases |
Если запустите команду dirbuster из каталога, отличного от /opt/dirbuster, получите сообщение об ошибке
1 |
Ошибка: невозможно получить доступ к jarfile DirBuster-1.0-RC1.jar |
Это связано с тем, что скрипт ищет файл .jar в текущем каталоге вместо использования полного пути.
Откройте файл /opt/dirbuster/DirBuster-1.0-RC1.sh и измените вторую строку на:
1 |
java -Xmx256M -jar /opt/dirbuster/DirBuster-1.0-RC1.jar |
Теперь перезапустите сеанс терминала и запустите ДирБастер в терминале. Тулза будет запущена из любого места.
Установка Dirbuster на Windows
Этапы установки:
Шаг 1: Скачайте и установите Java.
Шаг 2: Скачайте JDK (Выберите версию Open JDK 8LTS / Choose a JVM Hotspot).
Шаг 3: Скачайте и разархивируйте DirBuster.
Шаг 4: Зайдите в извлеченную папку и запустите файл с расширением .jar.
Статья в образовательных целях и предназначается для пенстеров (белых хакеров). Взлом и несанкционированный доступ уголовно наказуем. Ни редакция spy-soft.net, ни автор не несут ответственность за ваши действия.
Использование DirBuster
Для начала откроем справку:
1 |
dirbuster -h |
Справка будет актуальна в случае использовании инструмента в консоли Linux. В этом примере использования DirBuster, мы рассмотрим версию GUI (графический интерфейс).
Запустим инструмент и начнем сканирование сайта:
1 |
dirbuster |
В первом поле нужно указать целевой сайт. Ниже выбор метода работы (HEAD и GET или только запросы GET) и количество потоков. Затем можно указать метод перебора.
Я добавил целевой веб-сайт (127.14.0.1, который является локальным хостом) и добавил список слов, который находится в файле:
1 |
/usr/share/secclists/Discovery/Web-Content/directory-list-2.3.txt |
Другие словари ДиБастер можно найти здесь.
Теперь жмем «Пуск».
Результат сканирования отображается двумя разными способами (представление списка и файлов и древовидное). Можно изменить отображение результата с помощью верхних вкладок:
На приведенных выше скринах можно видеть структуру сайта и файлы. Эта информация будет полезна для будущего взлома сайта.
Заключение
Таким образом можно использовать Dirbuster на Kali Linux и Windows. Dirbuster — быстрый сканер сайтов, который удобен для сбора информации.
Еще по теме: