GoBuster ist ein Tool, das in der Go-Sprache erstellt wurde und für das Brute-Forcing von Verzeichnissen sowie für das Brute-Forcing von Subdomains verwendet werden kann. Da GoBuster auf Go basiert, müssen wir zuerst Go installieren und dann das GoBuster-Paket installieren oder konfigurieren. Bis zu meiner Entdeckung von Gobuster habe ich Tools wie Nikto, Cadaver, Skipfish, WPScan, OWASP ZAP und DirBuster verwendet. Jedes dieser Tools hat seine Stärken und Schwächen, aber am Ende funktionierten sie alle ziemlich gleich mit unterschiedlichen Ergebnissen. Ich suchte jedoch nach etwas, das ich über die Befehlszeile ausführen konnte und das keinen Thick-Client zum Ausführen enthielt.
Dabei bin ich auf Gobuster gestoßen. Es war alles, wonach ich in einem befehlszeilengesteuerten Web-Enumerationstool gesucht habe. Ich kann schnell zwischen Directory Brute Force und Virtual Host Enumeration wechseln. Ich kann Wortlisten im Handumdrehen wechseln, Befehlszeilenargumente festlegen, um die Dateierkennung durchzuführen, und schließlich die Thread-Anzahl anpassen. All diese Funktionen sind der Grund, warum ich persönlich Gobuster bei Pentest-Engagements verwendet habe.
Wenn Sie bei der Verwendung von GoBuster auf den folgenden Fehler stoßen:
GoBuster: command not found
Sie können versuchen, das folgende Paket gemäß Ihrer Wahl der Distribution zu installieren.
| Verteilung | Befehl |
|---|---|
| OS X | brew install gobuster |
| Debian | apt-get install gobuster |
| Ubuntu | apt-get install gobuster |
| Kali-Linux | apt-get install gobuster |
So zeigen Sie die verfügbaren Optionen mit dem GoBuster-Befehl an:
Zusammenfassung
Gobuster kann verwendet werden, um URIs und DNS-Subdomains von der Befehlszeile aus brutal zu erzwingen. (Wenn Sie eine grafische Benutzeroberfläche bevorzugen, sehen Sie sich OWASPs Dirbuster an.) In Gobuster können Sie Wortlisten für allgemeine Verzeichnisse und Subdomains verwenden, um automatisch jeden Eintrag in der Wortliste anzufordern, die Einträge an einen Webserver zu senden und die interessanten Serverantworten zu filtern . Die von Gobuster generierten Ergebnisse liefern Ihnen den URL-Pfad und die Antwortcodes für den HTTP-Status. (Während Sie URIs mit Burp Suite’s Intruder brutal erzwingen können, ist Burp Community Edition viel langsamer als Gobuster.)