Kas otsite tasuta kasutatavaid tööriistu peidetud kataloogide ja failide loetlemiseks veebiserveris? Siin on parimad Linuxi tööriistad kataloogide lõhkemiseks.

Võtmed kaasavõtmiseks

  • Kataloogide lõhkumine on eetilise häkkimise oluline tehnika, et avastada veebiserveris või rakenduses peidetud katalooge ja faile.
  • Linux pakub kataloogide lõhkumiseks mitmeid tööriistu, nagu DIRB, DirBuster, Gobuster, ffuf ja direarch.
  • Need tööriistad automatiseerivad HTTP-päringute saatmise veebiserverisse ja kataloogide nimede arvamise, et leida ressursse, mida veebisaidi navigeerimis- või saidikaardil ei reklaamita.

Iga veebirakenduse pentesti tutvumise etapis on oluline leida rakendusest võimalikud kataloogid. Need kataloogid võivad sisaldada olulist teavet ja leide, mis aitavad teil oluliselt leida rakenduse haavatavusi ja parandada selle turvalisust.

Õnneks on Internetis tööriistu, mis muudavad kataloogide toore sundimise lihtsamaks, automatiseerituks ja kiiremaks. Siin on viis Linuxi kataloogide lõhkumise tööriista, et loetleda veebirakenduses peidetud kataloogid.

instagram viewer

Mis on kataloogi lõhkemine?

Kataloog lõhkeb, tuntud ka kui "kataloogi jõhker sundimine", on tehnika, mida kasutatakse eetilises häkkimises peidetud kataloogide ja failide avastamiseks veebiserveris või rakenduses. See hõlmab süstemaatilist katset pääseda juurde erinevatele kataloogidele nende nimede arvamise või tavaliste kataloogide ja failinimede loendi kaudu.

Kataloogide lõhkumise protsess hõlmab tavaliselt automatiseeritud tööriistade või skriptide kasutamist, mis saadavad HTTP-päringuid veebiserverisse, proovides erinevaid katalooge ja failinimesid, et leida ressursse, mis ei ole veebisaidi navigeerimis- või lingis selgelt lingitud ega reklaamitud. saidikaart.

Kataloogide lõhkumiseks on Internetis saadaval sadu tasuta tööriistu. Siin on mõned tasuta tööriistad, mida saate järgmises läbitungimiskatses kasutada.

1. DIRB

DIRB on populaarne Linuxi käsurea tööriist, mida kasutatakse veebirakenduste kataloogide skannimiseks ja jõhkraks muutmiseks. See loetleb võimalikud kataloogid sõnaloendist ja veebisaidi URL-i.

DIRB on juba installitud Kali Linuxisse. Kuid kui teil pole seda installitud, pole põhjust muretsemiseks. Selle installimiseks vajate lihtsalt lihtsat käsku.

Debianipõhiste distributsioonide jaoks käivitage:

sudo apt install dirb

Mitte-Debiani Linuxi distributsioonide jaoks, nagu Fedora ja CentOS, käivitage:

sudo dnf install dirb

Käivitage Arch Linuxis:

yay -S dirb

Kuidas kasutada DIRB-i Bruteforce'i kataloogide jaoks

Veebirakenduses kataloogi toore sundimise teostamise süntaks on:

dirb [url] [path to wordlist]

Näiteks kui kasutaksite jõhkrat jõudu https://example.com, see oleks käsk:

dirb https://example.com wordlist.txt

Käsu saate käivitada ka ilma sõnaloendit määramata. DIRB kasutab oma vaikesõnaloendi faili, common.txt, et veebisaiti skannida.

dirb https://example.com

2. DirBuster

DirBuster on väga sarnane DIRB-iga. Peamine erinevus seisneb selles, et erinevalt DIRB-st, mis on käsurea tööriist, on DirBusteril graafiline kasutajaliides (GUI). DIRB võimaldab kataloogi bruteforce skannimist oma maitse järgi konfigureerida ning tulemusi olekukoodi ja muude huvitavate parameetrite järgi filtreerida.

Samuti saate määrata lõimede arvu, mis määrab kiiruse, millega soovite skannimist käia, ja konkreetsed faililaiendid, mida soovite, et rakendus teid otsiks.

Kõik, mida pead tegema, on sisestada siht-URL, mida soovite skannida, kasutada sõnaloendit, faililaiendid ja lõimede arv (valikuline), seejärel klõpsake Alusta.

Skaneerimise edenedes kuvab DirBuster liideses avastatud kataloogid ja failid. Näete iga päringu olekut (nt 200 OK, 404 Ei leitud) ja avastatud üksuste teed. Samuti saate skannimistulemused edasiseks analüüsiks faili salvestada. See aitaks teie leide dokumenteerida.

DirBuster on installitud Kali Linuxisse, kuid saate seda hõlpsalt teha installige DirBuster Ubuntule.

3. Gobuster

Gobuster on Gobuster'is kirjutatud käsurea tööriist, mida kasutatakse veebisaitide kataloogide ja failide jõhkraks jõuks, Open Amazon S3 ämbrite, DNS-i alamdomeenide, virtuaalse hosti nimede sihtveebiserverites, TFTP-serverites jne.

Gobusteri installimiseks Linuxi Debiani distributsioonidele, nagu Kali, käivitage:

sudo apt install gobuster

Linuxi distributsioonide RHEL-perekonna jaoks käivitage;

sudo dnf install gobuster

Käivitage Arch Linuxis:

yay -S gobuster

Teise võimalusena, kui teil on Go installitud, käivitage:

go install github.com/OJ/gobuster/v3@latest

Kuidas Gobusterit kasutada

Gobusteri kasutamise süntaks veebirakenduste kataloogide jõhkraks muutmiseks on järgmine:

gobuster dir -u [url] -w [path to wordlist]

Näiteks kui soovite katalooge bruteforce sisse lülitada https://example.com, käsk näeks välja selline:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf on Go-s kirjutatud väga kiire veebifuzzer ja kataloogide jõhkra sundimise tööriist. See on väga mitmekülgne ja eriti tuntud oma kiiruse ja kasutusmugavuse poolest.

Kuna ffuf on kirjutatud Go-s, peab teie Linuxi arvutisse olema installitud Go 1.16 või uuem versioon. Kontrollige oma Go versiooni selle käsuga:

go version

Ffufi installimiseks käivitage see käsk:

go install github.com/ffuf/ffuf/v2@latest

Või võite kloonida githubi hoidla ja kompileerida selle käsuga:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Kuidas kasutada ffufi Bruteforce'i kataloogides

Põhiline süntaks kataloogi toore sundimiseks koos ffufiga on:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Näiteks skannimiseks https://example.com, käsk oleks:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. uurimine

dirsearch on veel üks jõhkralt sundiv käsureatööriist, mida kasutatakse veebirakenduse kataloogide loetlemiseks. See meeldib eriti selle värvika väljundi tõttu, hoolimata sellest, et see on terminalipõhine rakendus.

Dirsearchi saate installida pipi kaudu, käivitades:

pip install dirsearch

Või saate GitHubi hoidla kloonida, käivitades:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Kuidas kasutada Bruteforce'i kataloogide otsingut

Dirsearchi kasutamise põhisüntaks bruteforce kataloogide jaoks on järgmine:

dirsearch -u [URL]

Kataloogide jõhkra jõu sisselülitamiseks https://example.com, kõik, mida pead tegema, on:

dirsearch -u https://example.com

Pole kahtlust, et need tööriistad säästavad palju aega, mille oleksite kulutanud käsitsi nende kataloogide äraarvamisele. Küberturvalisuses on aeg suur väärtus, mistõttu iga professionaal kasutab oma igapäevaste protsesside optimeerimiseks ära avatud lähtekoodiga tööriistu.

Eriti Linuxis on tuhandeid tasuta tööriistu, mis muudavad teie töö tõhusamaks. Teil on vaja ainult uurida ja valida, mis teie jaoks sobib!