探索网络安全新技术
攀登黑客技术最高峰

Gobuster:Web目录及文件暴力破解扫描工具

工具介绍

Gobuster 是一个用于暴力破解的工具,目前支持以下破解:

网站中的 URI(目录和文件)。
DNS 子域(支持通配符)。
目标 Web 服务器上的虚拟主机名。
打开 Amazon S3 存储桶
打开 Google Cloud 存储桶
TFTP服务器

工具安装

go install github.com/OJ/gobuster/v3@latest

PS:编译gobuster至少需要go 1.19

工具编译

gobuster具有外部依赖项,因此需要首先引入它们:

go get && go build

gobuster这将为您创建一个二进制文件。如果你想将其安装在$GOPATH/bin文件夹中,你可以运行:

go install

扫描模式

dir – 经典目录暴力破解模式
dns – DNS 子域暴力破解模式
s3 – 枚举打开的 S3 存储桶并查找是否存在和存储桶列表
gcs – 枚举打开的谷歌云存储桶
vhost – 虚拟主机暴力破解模式(与 DNS 不同!)
fuzz – 一些基本的模糊测试,替换FUZZ关键字
tftp – 暴力破解 tftp 文件

工具选项

Uses DNS subdomain enumeration mode

Usage:
  gobuster dns [flags]

Flags:
  -d, --domain string      The target domain
  -h, --help               help for dns
  -r, --resolver string    Use custom DNS server (format server.com or server.com:port)
  -c, --show-cname         Show CNAME records (cannot be used with '-i' option)
  -i, --show-ips           Show IP addresses
      --timeout duration   DNS resolver timeout (default 1s)
      --wildcard           Force continued operation when wildcard found

Global Flags:
      --delay duration    Time each thread waits between requests (e.g. 1500ms)
      --no-color          Disable color output
      --no-error          Don't display errors
  -z, --no-progress       Don't display progress
  -o, --output string     Output file to write results to (defaults to stdout)
  -p, --pattern string    File containing replacement patterns
  -q, --quiet             Don't print the banner and other noise
  -t, --threads int       Number of concurrent threads (default 10)
  -v, --verbose           Verbose output (errors)
  -w, --wordlist string   Path to the wordlist

使用示例

正常显示

gobuster dns -d google.com -w ~/wordlists/subdomains.txt

===============================================================
Gobuster v3.2.0
by OJ Reeves (@TheColonial) & Christian Mehlmauer (@firefart)
===============================================================
[+] Mode         : dns
[+] Url/Domain   : google.com
[+] Threads      : 10
[+] Wordlist     : /home/oj/wordlists/subdomains.txt
===============================================================
2019/06/21 11:54:20 Starting gobuster
===============================================================
Found: chrome.google.com
Found: ns1.google.com
Found: admin.google.com
Found: www.google.com
Found: m.google.com
Found: support.google.com
Found: translate.google.com
Found: cse.google.com
Found: news.google.com
Found: music.google.com
Found: mail.google.com
Found: store.google.com
Found: mobile.google.com
Found: search.google.com
Found: wap.google.com
Found: directory.google.com
Found: local.google.com
Found: blog.google.com
===============================================================
2019/06/21 11:54:20 Finished
===============================================================

DNS模块使用

显示IP示例运行如下所示:

gobuster dns -d google.com -w ~/wordlists/subdomains.txt -i

通配符 DNS 也被正确检测到:

gobuster dns -d 0.0.1.xip.io -w ~/wordlists/subdomains.txt

强制处理具有通配符条目的域,请使用–wildcard

gobuster dns -d 0.0.1.xip.io -w ~/wordlists/subdomains.txt --wildcard

Dir模式

默认选项如下所示:

gobuster dir -u https://buffered.io -w ~/wordlists/shortlist.txt

禁用状态代码的默认选项如下所示:

gobuster dir -u https://buffered.io -w ~/wordlists/shortlist.txt -n

显示内容长度的示例:

gobuster dir -u https://buffered.io -w ~/wordlists/shortlist.txt -l

Fuzz模式

gobuster fuzz -u https://example.com?FUZZ=test -w parameter-names.txt

工具下载

Gobuster v3.5.0

赞(0) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《Gobuster:Web目录及文件暴力破解扫描工具》
文章链接:https://www.wevul.com/1652.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册