Gobuster是一款高效的开源渗透测试工具,专为在Web应用程序中发现隐藏内容或目录而设计。采用Go语言编写,具备快速、轻量级、易安装和易用等特点。本文将介绍在Kali Linux中安装、常见工作模式和命令指南,并提供实际示例,以便更好地利用Gobuster进行渗透测试。
安装Gobuster
在最新版本的Kali Linux中,Gobuster已经被移除。如果需要安装,执行以下命令:
apt-get install gobuster
工具特性
Gobuster具备以下三种工作模式:
- dir模式: 传统的目录爆破模式,用于扫描站点中的URL(目录或文件)。
- dns模式: DNS子域名爆破模式,用于查找目标域的子域名。
- vhost模式: 虚拟主机爆破模式,用于查找web服务器的虚拟主机名。
命令指南
dns模式
gobuster dns -d <目标域> -t <线程数> -w <字典路径> -i –wildcard
常用参数:
- -d –domain string 目标域
- -i 显示IP地址
dir模式
gobuster dir -u <目标网站> -c ‘session=123456’ -w <字典路径> -x .php,.txt,.html,.zip
常用参数:
- -u 目标网站
- -x 要搜索的文件扩展名
- -c –cookies string 用于请求的cookie
- -w –wordlist string 字典的路径
vhost模式
gobuster vhost -u <目标网址> -w <字典路径>
常用参数:
- -u –url string 目标网址
- -w –wordlist string 字典的路径
示例
基于DNS子域名查找
gobuster dns -d bbskali.cn -t 50 -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -i –wildcard
文件目录爆破
、gobuster dir -u https://blog.bbskali.cn -c ‘session=123456’ -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip
以上实例演示了如何通过Gobuster进行DNS子域名查找和文件目录爆破,以帮助您更有效地进行渗透测试。
暂无评论内容