Suchen Sie nach kostenlosen Tools zum Auflisten versteckter Verzeichnisse und Dateien auf einem Webserver? Hier sind die besten Linux-Tools für das Verzeichnis-Bursting.

Die zentralen Thesen

  • Directory Bursting ist eine wesentliche Technik beim ethischen Hacking, um versteckte Verzeichnisse und Dateien auf einem Webserver oder einer Anwendung zu entdecken.
  • Linux bietet mehrere Tools für das Verzeichnis-Bursting, wie DIRB, DirBuster, Gobuster, ffuf und dirsearch.
  • Diese Tools automatisieren den Prozess des Sendens von HTTP-Anfragen an einen Webserver und des Erratens von Verzeichnisnamen, um Ressourcen zu finden, die nicht in der Navigation oder Sitemap der Website beworben werden.

In der Aufklärungsphase jedes Pentests einer Webanwendung ist es wichtig, mögliche Verzeichnisse auf der Anwendung zu finden. Diese Verzeichnisse können wichtige Informationen und Erkenntnisse enthalten, die Ihnen dabei helfen können, Schwachstellen in der Anwendung zu finden und deren Sicherheit zu verbessern.

instagram viewer

Glücklicherweise gibt es im Internet Tools, die das Brute-Forcing von Verzeichnissen einfacher, automatisiert und schneller machen. Hier sind fünf Tools zum Aufteilen von Verzeichnissen unter Linux, mit denen Sie versteckte Verzeichnisse in einer Webanwendung auflisten können.

Was ist Directory Bursting?

Verzeichnisplatzung, auch bekannt als „Directory Brute Forcing“, ist eine Technik, die bei ethischem Hacking verwendet wird, um versteckte Verzeichnisse und Dateien auf einem Webserver oder einer Anwendung zu entdecken. Dabei wird systematisch versucht, auf verschiedene Verzeichnisse zuzugreifen, indem deren Namen erraten oder eine Liste gemeinsamer Verzeichnisse und Dateinamen durchgezählt wird.

Der Prozess des Directory Bursting umfasst in der Regel die Verwendung automatisierter Tools oder Skripts, die HTTP-Anfragen an einen Webserver senden Verschiedene Verzeichnisse und Dateinamen, um Ressourcen zu finden, die nicht explizit in der Navigation der Website verlinkt oder beworben werden Seitenverzeichnis.

Im Internet stehen Hunderte kostenloser Tools zur Verfügung, mit denen Sie das Verzeichnis-Bursting durchführen können. Hier sind einige kostenlose Tools, die Sie bei Ihrem nächsten Penetrationstest verwenden können:

1. DIRB

DIRB ist ein beliebtes Linux-Befehlszeilentool zum Scannen und Bruteforce-Verzeichnissen in Webanwendungen. Es listet mögliche Verzeichnisse aus einer Wortliste anhand einer Website-URL auf.

DIRB ist bereits auf Kali Linux installiert. Wenn Sie es jedoch nicht installiert haben, besteht kein Grund zur Sorge. Sie benötigen lediglich einen einfachen Befehl, um es zu installieren.

Führen Sie für Debian-basierte Distributionen Folgendes aus:

sudo apt install dirb

Führen Sie für Nicht-Debian-Linux-Distributionen wie Fedora und CentOS Folgendes aus:

sudo dnf install dirb

Führen Sie unter Arch Linux Folgendes aus:

yay -S dirb

So verwenden Sie DIRB, um Verzeichnisse zu erzwingen

Die Syntax zum Durchführen von Directory Brute Force für eine Webanwendung lautet:

dirb [url] [path to wordlist]

Zum Beispiel, wenn Sie Bruteforce anwenden würden https://example.com, das wäre der Befehl:

dirb https://example.com wordlist.txt

Sie können den Befehl auch ausführen, ohne eine Wortliste anzugeben. DIRB würde seine Standard-Wortlistendatei verwenden, common.txt, um die Website zu scannen.

dirb https://example.com

2. DirBuster

DirBuster ist DIRB sehr ähnlich. Der Hauptunterschied besteht darin, dass DirBuster im Gegensatz zu DIRB, einem Befehlszeilentool, über eine grafische Benutzeroberfläche (GUI) verfügt. Mit DIRB können Sie die Verzeichnis-Bruteforce-Scans nach Ihrem Geschmack konfigurieren und die Ergebnisse nach Statuscode und anderen interessanten Parametern filtern.

Sie können auch die Anzahl der Threads festlegen, um die Geschwindigkeit festzulegen, mit der die Scans ausgeführt werden sollen, sowie die spezifischen Dateierweiterungen, nach denen die Anwendung nach Ihnen suchen soll.

Sie müssen lediglich die Ziel-URL, die Sie scannen möchten, die Wortliste, die Sie verwenden möchten, die Dateierweiterungen und die Anzahl der Threads (optional) eingeben und dann klicken Start.

Während der Scan fortschreitet, zeigt DirBuster die erkannten Verzeichnisse und Dateien in der Benutzeroberfläche an. Sie können den Status jeder Anfrage (z. B. 200 OK, 404 Nicht gefunden) und den Pfad der entdeckten Elemente sehen. Sie können die Scanergebnisse auch zur weiteren Analyse in einer Datei speichern. Dies würde Ihnen helfen, Ihre Ergebnisse zu dokumentieren.

DirBuster ist auf Kali Linux vorinstalliert, Sie können dies jedoch problemlos tun Installieren Sie DirBuster auf Ubuntu.

3. Gobuster

Gobuster ist ein in Go geschriebenes Befehlszeilentool, das zum Bruteforce von Verzeichnissen und Dateien auf Websites, zum Öffnen von Amazon S3-Buckets, DNS-Subdomänen, virtuellen Hostnamen auf Ziel-Webservern, TFTP-Servern usw. verwendet wird.

Um Gobuster auf Debian-Linux-Distributionen wie Kali zu installieren, führen Sie Folgendes aus:

sudo apt install gobuster

Führen Sie für die RHEL-Familie von Linux-Distributionen Folgendes aus:

sudo dnf install gobuster

Führen Sie unter Arch Linux Folgendes aus:

yay -S gobuster

Wenn Sie Go installiert haben, führen Sie alternativ Folgendes aus:

go install github.com/OJ/gobuster/v3@latest

So verwenden Sie Gobuster

Die Syntax für die Verwendung von Gobuster zum Bruteforce-Verzeichnis in Webanwendungen lautet:

gobuster dir -u [url] -w [path to wordlist]

Zum Beispiel, wenn Sie Verzeichnisse brutal erzwingen möchten https://example.com, der Befehl würde so aussehen:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf ist ein sehr schnelles Web-Fuzzer- und Verzeichnis-Brute-Forcing-Tool, das in Go geschrieben wurde. Es ist sehr vielseitig und besonders für seine Schnelligkeit und Benutzerfreundlichkeit bekannt.

Da ffuf in Go geschrieben ist, muss Go 1.16 oder höher auf Ihrem Linux-PC installiert sein. Überprüfen Sie Ihre Go-Version mit diesem Befehl:

go version

Führen Sie diesen Befehl aus, um ffuf zu installieren:

go install github.com/ffuf/ffuf/v2@latest

Oder Sie können das Github-Repository klonen und mit diesem Befehl kompilieren:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

So verwenden Sie ffuf für Bruteforce-Verzeichnisse

Die grundlegende Syntax für Verzeichnis-Brute-Force mit ffuf lautet:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Zum Beispiel zum Scannen https://example.com, Der Befehl wäre:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch ist ein weiteres Brute-Forcing-Befehlszeilentool, das zum Aufzählen von Verzeichnissen in einer Webanwendung verwendet wird. Es ist vor allem wegen seiner farbenfrohen Ausgabe beliebt, obwohl es sich um eine terminalbasierte Anwendung handelt.

Sie können dirsearch über pip installieren, indem Sie Folgendes ausführen:

pip install dirsearch

Oder Sie können das GitHub-Repository klonen, indem Sie Folgendes ausführen:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

So nutzen Sie Dirsearch für Bruteforce-Verzeichnisse

Die grundlegende Syntax für die Verwendung von dirsearch zum Bruteforce-Verzeichnis lautet:

dirsearch -u [URL]

Um Verzeichnisse brutal zu erzwingen https://example.com, Alles, was Sie tun müssen, ist:

dirsearch -u https://example.com

Es besteht kein Zweifel, dass Ihnen diese Tools viel Zeit ersparen werden, die Sie sonst für das manuelle Erraten dieser Verzeichnisse aufgewendet hätten. In der Cybersicherheit ist Zeit ein großes Gut. Aus diesem Grund nutzt jeder Fachmann Open-Source-Tools, um seine täglichen Prozesse zu optimieren.

Es gibt Tausende kostenloser Tools, insbesondere unter Linux, um Ihre Arbeit effizienter zu gestalten. Sie müssen sich nur umsehen und auswählen, was für Sie am besten geeignet ist!