Перебор каталогов сайта на Kali Linux

Взлом сайта

Перебор каталогов — это один из первых этапов взлома сайта. Это по сути поиск возможных скрытых каталогов сайта, с помощью атаки брутфорс и списка популярного имен каталогов. В статье покажу в действии, три популярных инструмента для перебора каталогов на Kali Linux.

Еще по теме: Взлом веб-сервера на PHP

Перебор каталогов сайта на Kali Linux

Мы будем использовать 3 инструмента:

  • GoBuster
  • Dirbuster
  • Dirb

Трудно сказать какой из них лучше. Каждый имеет свои достоинства и недостатки.

Bug Bounty не имеет никакого отношения к батончику с райским вкусом, — это программа, которую владелец сайта (web-приложения) проводит для привлечения сторонних специалистов в области ИБ к поиску уязвимостей. При участии в программе Bug Bounty нужно действовать этично и придерживаться установленных правил. Не забывайте, что несанкционированный взлом является незаконным и расценивается, как уголовное преступление. Ни редак­ция spy-soft.net, ни автор не несут ответс­твен­ность за ваши действия.

Перебор каталогов с помощью Gobuster

Откройте терминал Kali и установите Gobuster:

После установки запустите тулзу или еще лучше, загляните в справку:

Перебор каталогов Gobuster

В демонстрационных целях я использую намеренно уязвимый сайт testphp.vulnweb от Acunetix, специально разработанный для таких, как мы (этичных хакеров).

Для перебора каталогов сайта, введите и выполните:

После выполнения будут отображены каталоги веб-сервера.

Перебор каталогов Gobuster

Если открыть в браузере найденные каталоги, вы увидите уязвимый контент.

Брутфорс каталогов Gobuster

Можно запустить перебор каталогов и файлов на основе определенных расширений, таких как .txt, .css, .js и т. д. Для этого используйте директиву -x.

Брут каталогов Gobuster

После выполнения команды, будут отображены только файлы с указанными расширением файла.

Подробнее про GoBuster см. в статье «Использование GoBuster для перебора файлов и каталогов».

Перебор каталогов с помощью Dirb

Теперь давайте посмотрим, как найти скрытые каталоги с помощью Dirb. Для этого в терминале введите:

Перебор каталогов с помощью Dirb

В принципе, здесь, нечего объяснять, Если непонятно, используйте справку.

Перебор каталогов с помощью Dirbuster

Теперь мы будем использовать Dirbuster — версию dirb с графическим интерфейсом для перечисления каталогов. В статье «Как установить и использовать DirBuster на Linux и Windows» мы про него подробно рассказывали. Очень рекомендую ознакомиться.

Откройте меню приложений Kali Linux и зайдите в —> Анализ веб-приложений —> Поисковые роботы и брутфорс каталогов -> Dirbuster.

Перебор каталогов Dirbuster

Теперь введите адрес целевого сайта, добавьте файл списка слов и необходимы расширения файлов.

Перебор каталогов сайта Dirbuster

После заполнения и нажатия на кнопку «Start», Dirbuster начнет сканирование директорий сайта и файлов.

Брут каталогов сайта Dirbuster

Так выглядит результат в виде списка директорий и файлов.

Список скрытых директорий сайта

На приведенном выше скрине представлен список каталогов, которые были найдены на веб-сервере. Кликнув по определенному файлу, появится меню, в котором можно выбрать различные операции, такие как «Открыть в браузере», «Скопировать урл» и т. д.

Так выглядит список найденных каталогов, в виде древовидной структуры.

Древовидный вид директорий сайта
Древовидный вид директорий сайта

Как и в представлении в виде списка, можно щелкнуть правой кнопкой мыши и отобразить дополнительное меню.

Заключение

Это были три простых и наиболее часто используемых инструмента для перебора директорий веб-приложений. Это все на сегодня. Увидимся в следующей статье.

РЕКОМЕНДУЕМ:

QUASAR

Этичный хакер и компьютерный ниндзя. Новые статьи в нашей Телеге!

Добавить комментарий