Op zoek naar gratis te gebruiken tools om verborgen mappen en bestanden op een webserver op te sommen? Hier zijn de beste Linux-tools voor het barsten van mappen.

Belangrijkste leerpunten

  • Directory bursting is een essentiële techniek bij ethisch hacken om verborgen mappen en bestanden op een webserver of applicatie te ontdekken.
  • Linux biedt verschillende tools voor directory bursting, zoals DIRB, DirBuster, Gobuster, ffuf en dirsearch.
  • Deze tools automatiseren het proces van het verzenden van HTTP-verzoeken naar een webserver en het raden van mapnamen om bronnen te vinden die niet worden geadverteerd in de navigatie of sitemap van de website.

In de verkenningsfase van elke pentest van een webapplicatie is het essentieel om mogelijke mappen op de applicatie te vinden. Deze mappen kunnen belangrijke informatie en bevindingen bevatten die u enorm kunnen helpen om kwetsbaarheden in de toepassing te vinden en de beveiliging ervan te verbeteren.

Gelukkig zijn er tools op internet die het brute forceren van mappen eenvoudiger, geautomatiseerd en sneller maken. Hier zijn vijf directory-bursting-tools op Linux om verborgen mappen op een webtoepassing op te sommen.

instagram viewer

Wat is directory-bursting?

Directory barsten, ook bekend als "directory brute forcing", is een techniek die wordt gebruikt bij ethisch hacken om verborgen mappen en bestanden op een webserver of applicatie te ontdekken. Het gaat om het systematisch proberen toegang te krijgen tot verschillende mappen door hun namen te raden of door een lijst met veelgebruikte mappen en bestandsnamen op te sommen.

Het proces van directory bursting omvat meestal het gebruik van geautomatiseerde tools of scripts die HTTP-verzoeken naar een webserver sturen om te proberen verschillende mappen en bestandsnamen om bronnen te vinden die niet expliciet zijn gelinkt of geadverteerd in de navigatie van de website of sitemap.

Er zijn honderden gratis tools beschikbaar op internet om directory bursting uit te voeren. Hier zijn enkele gratis tools die u kunt gebruiken bij uw volgende penetratietest:

1. DIRB

DIRB is een populaire Linux-opdrachtregeltool die wordt gebruikt voor het scannen en bruteforcen van mappen op webapplicaties. Het somt mogelijke mappen uit een woordenlijst op tegen een website-URL.

DIRB is al geïnstalleerd op Kali Linux. Als u het echter niet hebt geïnstalleerd, hoeft u zich nergens zorgen over te maken. Je hebt alleen een simpele opdracht nodig om het te installeren.

Voer voor op Debian gebaseerde distributies het volgende uit:

sudo apt install dirb

Voer voor niet-Debian Linux-distributies zoals Fedora en CentOS het volgende uit:

sudo dnf install dirb

Voer op Arch Linux het volgende uit:

yay -S dirb

Hoe DIRB te gebruiken voor Bruteforce-directories

De syntaxis voor het uitvoeren van directory brute forcering op een webtoepassing is:

dirb [url] [path to wordlist]

Bijvoorbeeld als je zou bruteforcen https://example.com, dit zou de opdracht zijn:

dirb https://example.com wordlist.txt

U kunt de opdracht ook uitvoeren zonder een woordenlijst op te geven. DIRB zou zijn standaard woordenlijstbestand gebruiken, algemeen.txt, om de website te scannen.

dirb https://example.com

2. DirBuster

DirBuster lijkt erg op DIRB. Het grote verschil is dat DirBuster een grafische gebruikersinterface (GUI) heeft in tegenstelling tot DIRB, een opdrachtregelprogramma. Met DIRB kunt u de directory bruteforce-scans naar uw smaak configureren en de resultaten filteren op statuscode en andere interessante parameters.

U kunt ook het aantal threads instellen dat de snelheid bepaalt waarmee u de scans wilt uitvoeren, en de specifieke bestandsextensies die u wilt dat de toepassing voor u zoekt.

Het enige dat u hoeft te doen, is de doel-URL in te voeren die u wilt scannen, de woordenlijst die u wilt gebruiken, de bestandsextensies en het aantal threads (optioneel) en klik vervolgens op Begin.

Naarmate de scan vordert, zal DirBuster de ontdekte mappen en bestanden in de interface weergeven. U kunt de status van elk verzoek zien (bijv. 200 OK, 404 Niet gevonden) en het pad van de gevonden items. U kunt de scanresultaten ook opslaan in een bestand voor verdere analyse. Dit zou helpen om uw bevindingen te documenteren.

DirBuster wordt geïnstalleerd op Kali Linux, maar dat kan eenvoudig installeer DirBuster op Ubuntu.

3. Gobuster

Gobuster is een opdrachtregelprogramma geschreven in Go dat wordt gebruikt om mappen en bestanden op websites, Open Amazon S3-buckets, DNS-subdomeinen, virtuele hostnamen op doelwebservers, TFTP-servers, enz.

Om Gobuster op Debian-distributies van Linux zoals Kali te installeren, voert u het volgende uit:

sudo apt install gobuster

Voer voor de RHEL-familie van Linux-distributies;

sudo dnf install gobuster

Voer op Arch Linux het volgende uit:

yay -S gobuster

Als alternatief, als u Go hebt geïnstalleerd, voert u het volgende uit:

go install github.com/OJ/gobuster/v3@latest

Hoe Gobuster te gebruiken

De syntaxis voor het gebruik van Gobuster om mappen in webapplicaties bruteforce te maken is:

gobuster dir -u [url] -w [path to wordlist]

Als u bijvoorbeeld directories bruteforce wilt aanzetten https://example.com, het commando zou er zo uitzien:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf is een zeer snelle web-fuzzer en directory brute-forcing tool geschreven in Go. Het is zeer veelzijdig en staat vooral bekend om zijn snelheid en gebruiksgemak.

Aangezien ffuf in Go is geschreven, moet Go 1.16 of hoger op uw Linux-pc zijn geïnstalleerd. Controleer uw Go-versie met deze opdracht:

go version

Voer deze opdracht uit om ffuf te installeren:

go install github.com/ffuf/ffuf/v2@latest

Of je kunt de github-repository klonen en compileren met deze opdracht:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Hoe ffuf te gebruiken voor Bruteforce-directories

De basissyntaxis voor brute forcering van mappen met ffuf is:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Bijvoorbeeld om te scannen https://example.com, het commando zou zijn:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. onderzoek

dirsearch is een ander bruut forcerend opdrachtregelprogramma dat wordt gebruikt om mappen op een webtoepassing op te sommen. Het is vooral geliefd vanwege zijn kleurrijke output, ondanks dat het een terminal-gebaseerde applicatie is.

U kunt dirsearch via pip installeren door het volgende uit te voeren:

pip install dirsearch

Of u kunt de GitHub-repository klonen door het volgende uit te voeren:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Hoe dirsearch te gebruiken voor Bruteforce-directories

De basissyntaxis voor het gebruik van dirsearch om mappen te bruteforcen is:

dirsearch -u [URL]

Om mappen bruteforce aan te zetten https://example.com, het enige wat u hoeft te doen is:

dirsearch -u https://example.com

Het lijdt geen twijfel dat deze tools u veel tijd zullen besparen die u handmatig zou hebben besteed aan het raden van deze mappen. In cybersecurity is tijd een grote troef, daarom maakt elke professional gebruik van open-sourcetools om zijn dagelijkse processen te optimaliseren.

Er zijn duizenden gratis tools speciaal op Linux om je werk efficiënter te maken, het enige wat je hoeft te doen is verkennen en kiezen wat voor jou werkt!