1. 介绍
Gobuster是一个开源的渗透测试工具,用于在Web应用程序中发现隐藏的内容或目录枚举。它可以在提供的字典中寻找URL,并返回来自网站服务器的HTTP状态代码。该工具使用Go语言编写,具有速度快、轻量级以及易于安装和使用的特点。
2. 基本使用
gobuster可爆破的对象包括:
- 目标站点中的URL(目录或者文件);
- DNS子域名(支持通配符)
- 目标web服务器的虚拟主机名(VHost)
工具可工作模式
dir:传统的目录爆破模式;
dns:DNS子域名爆破模式;
vhost:虚拟主机爆破模式;
dns模式
gobuster dns <flags>
flags:
-d,--domain string 目标域
-i 显示ip地址
dir模式
gobuster dir [flags]
flags:
-u 目标网站
-x 要搜索的文件扩展名
-c,--cookies string 用于请求的cookie
-w,--wordlist string 字典的路径
vhost模式
gobuster vhost [flags]
-u,--url string 目标网址
-w,--wordlist string 字典的路径
实例
dns爆破
find / -name subdomains.* 2>/dev/null
gobuster dns -d baidu.com -t 50 -w subdomains-top1mil-5000.txt -i
dir爆破
gobuster dir -u http://10.10.10.138 -c 'session=123456' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip