Gobuster开源的渗透测试工具，安装及使用体验

前言

Gobuster是一款开源渗透测试工具，用在Web应用程序中发现隐藏的内容和目录枚举，它可以在提供的字典中寻找URL，并且返回来自网站服务器的HTTP状态代码，该工具使用Go语言编写，具有速度快、轻量化以及易于安装和使用的特性。

安装

老版本Kali中是自带该工具的，最新版本Kali将该工具移除，想要使用需要安装，安装方法如下：

apt-get install gobuster

查看帮助

gobuster -h

工具介绍

1. 扫描站点中的URL（目录或者文件）
2. DNS子域名查找
3. 查找web服务器的虚拟主机名

所以，Gobuster有3种使用模式。

1. dir：传统的目录爆破模式；
2. dns：DNS子域名爆破模式；
3. vhost：虚拟主机爆破模式；

命令介绍

gobuster dns <参数>

常用参数:

1. -d  –domain string 目标域
2. -i  显示ip地址

案例

DNS子域名查找(DNS子域名爆破模式)

gobuster dns -d 4x45.com -t 50 -w /usr/share/amass/wordlists/subdomains-top1mil-5000.txt -i --wildcard

dir模式(传统的目录爆破模式)

gobuster dir [参数]

常用参数:

1. -u  目标网站
2. -x  要搜索的文件扩展名
3. -c  –cookies string 用于请求的cookie
4. -w  –wordlist string 字典的路径

案例

gobuster dir -u https://blog.bbskali.cn -c 'session=123456' -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -x .php,.txt,.html,.zip

PS：session=123456→点击获取详解

即查找目标下的php txt html zip等文件

vhost模式（虚拟主机爆破模式）

gobuster vhost [参数]

常用参数：

1. -u  –url string 目标网址
2. -w  –wordlist string 字典的路径

案例

参考dir模式

更多文章 欢迎关注