GoBuster è uno strumento che è stato creato nel linguaggio Go, che può essere utilizzato per le directory di forza bruta così come per i sottodomini di forzatura bruta. Poiché GoBuster è basato su Go, è necessario prima installare Go e quindi installare o configurare il pacchetto GoBuster. Fino alla mia scoperta di Gobuster, stavo usando strumenti come Nikto, Cadaver, Skipfish, WPScan, OWASP ZAP e DirBuster. Ognuno di questi strumenti ha i suoi punti di forza e di debolezza ma, alla fine, hanno funzionato tutti più o meno allo stesso modo con risultati variabili. Tuttavia, stavo cercando qualcosa che potessi eseguire dalla riga di comando e non contenesse un thick client da eseguire.
Questo è quando mi sono imbattuto in Gobuster. Era tutto ciò che stavo cercando in uno strumento di enumerazione Web basato sulla riga di comando. Posso passare rapidamente dalla forzatura bruta delle directory all'enumerazione degli host virtuali. Posso cambiare elenchi di parole al volo, impostare argomenti della riga di comando per eseguire il rilevamento dei file e, infine, regolare il conteggio dei thread. Tutte queste caratteristiche sono il motivo per cui personalmente ho utilizzato Gobuster durante gli impegni più pentiti.
Se riscontri un errore di seguito durante l'utilizzo di GoBuster:
GoBuster: command not found
puoi provare a installare il pacchetto sottostante secondo la tua scelta di distribuzione.
| Distribuzione | Comando |
|---|---|
| OS X | brew install gobuster |
| Debian | apt-get install gobuster |
| Ubuntu | apt-get install gobuster |
| Kali Linux | apt-get install gobuster |
Per visualizzare le opzioni disponibili con il comando GoBuster:
Riepilogo
Gobuster può essere utilizzato per forzare URI e sottodomini DNS dalla riga di comando. (Se preferisci un'interfaccia utente grafica, dai un'occhiata al Dirbuster di OWASP.) In Gobuster, puoi utilizzare elenchi di parole per directory e sottodomini comuni per richiedere automaticamente ogni elemento nell'elenco di parole, inviare gli elementi a un server Web e filtrare le risposte interessanti del server . I risultati generati da Gobuster ti forniranno il percorso dell'URL e i codici di risposta dello stato HTTP. (Mentre puoi forzare gli URI con Intruder di Burp Suite, Burp Community Edition è molto più lento di Gobuster.)