Hľadáte bezplatné nástroje na vymenovanie skrytých adresárov a súborov na webovom serveri? Tu sú najlepšie nástroje Linuxu na praskanie adresárov.

Kľúčové informácie

  • Pretrhnutie adresárov je základnou technikou pri etickom hackovaní na objavenie skrytých adresárov a súborov na webovom serveri alebo v aplikácii.
  • Linux ponúka niekoľko nástrojov na praskanie adresárov, ako napríklad DIRB, DirBuster, Gobuster, ffuf a dirsearch.
  • Tieto nástroje automatizujú proces odosielania požiadaviek HTTP na webový server a hádanie názvov adresárov s cieľom nájsť zdroje, ktoré nie sú inzerované v navigácii alebo mape webu.

Vo fáze prieskumu každej webovej aplikácie je nevyhnutné nájsť možné adresáre v aplikácii. Tieto adresáre môžu obsahovať dôležité informácie a zistenia, ktoré by vám výrazne pomohli nájsť zraniteľné miesta v aplikácii a zlepšiť jej bezpečnosť.

Našťastie na internete existujú nástroje, ktoré uľahčujú, zautomatizujú a zrýchlia násilné vynucovanie adresárov. Tu je päť nástrojov na praskanie adresárov v systéme Linux na vymenovanie skrytých adresárov vo webovej aplikácii.

instagram viewer

Čo je prasknutie adresára?

Adresár praskol, tiež známy ako „directory brute forcing“, je technika používaná pri etickom hackovaní na objavovanie skrytých adresárov a súborov na webovom serveri alebo v aplikácii. Zahŕňa systematické pokusy o prístup k rôznym adresárom uhádnutím ich názvov alebo vymenovaním zoznamu bežných adresárov a názvov súborov.

Proces prasknutia adresárov zvyčajne zahŕňa použitie automatizovaných nástrojov alebo skriptov, ktoré odosielajú požiadavky HTTP na webový server, rôzne adresáre a názvy súborov, aby ste našli zdroje, ktoré nie sú explicitne prepojené alebo inzerované na navigácii webovej stránky alebo mapa stránok.

Na internete sú k dispozícii stovky bezplatných nástrojov na prelamovanie adresárov. Tu je niekoľko bezplatných nástrojov, ktoré môžete použiť pri ďalšom penetračnom teste:

1. DIRB

DIRB je populárny nástroj príkazového riadka Linuxu, ktorý sa používa na skenovanie a bruteforce adresárov vo webových aplikáciách. Vypočítava možné adresáre zo zoznamu slov oproti webovej adrese URL.

DIRB je už nainštalovaný v systéme Kali Linux. Ak ho však nemáte nainštalovaný, nemusíte sa ničoho obávať. Na inštaláciu potrebujete jednoduchý príkaz.

Pre distribúcie založené na Debiane spustite:

sudo apt install dirb

Pre iné distribúcie Linuxu ako Debian, ako sú Fedora a CentOS, vykonajte:

sudo dnf install dirb

Na Arch Linuxe spustite:

yay -S dirb

Ako používať DIRB do adresárov Bruteforce

Syntax na vykonávanie hrubého vynútenia adresára vo webovej aplikácii je:

dirb [url] [path to wordlist]

Napríklad, ak by ste použili brutálnu silu https://example.com, toto by bol príkaz:

dirb https://example.com wordlist.txt

Príkaz môžete spustiť aj bez zadania zoznamu slov. DIRB by použil svoj predvolený súbor so zoznamom slov, common.txt, na skenovanie webovej stránky.

dirb https://example.com

2. DirBuster

DirBuster je veľmi podobný DIRB. Hlavný rozdiel je v tom, že DirBuster má grafické používateľské rozhranie (GUI) na rozdiel od DIRB, čo je nástroj príkazového riadku. DIRB vám umožňuje nakonfigurovať skenovanie adresárov bruteforce podľa vášho vkusu a filtrovať výsledky podľa stavového kódu a ďalších zaujímavých parametrov.

Môžete tiež nastaviť počet vlákien určujúcich rýchlosť, akou chcete skenovanie spustiť, a konkrétne prípony súborov, ktoré má aplikácia vyhľadávať.

Všetko, čo musíte urobiť, je zadať cieľovú adresu URL, ktorú chcete skenovať, zoznam slov, ktorý chcete použiť, prípony súborov a počet vlákien (voliteľné) a potom kliknúť Štart.

Ako kontrola pokračuje, DirBuster zobrazí objavené adresáre a súbory v rozhraní. Môžete vidieť stav každej požiadavky (napr. 200 OK, 404 Nenájdené) a cestu k nájdeným položkám. Výsledky skenovania môžete tiež uložiť do súboru na ďalšiu analýzu. Pomôže to zdokumentovať vaše zistenia.

DirBuster je nainštalovaný v systéme Kali Linux, ale môžete to ľahko nainštalujte DirBuster na Ubuntu.

3. Gobuster

Gobuster je nástroj príkazového riadka napísaný v Go, ktorý sa používa na bruteforce adresárov a súborov na webových stránkach, Open Amazon S3 buckets, DNS subdomény, názvy virtuálnych hostiteľov na cieľových webových serveroch, TFTP serveroch atď.

Ak chcete nainštalovať Gobuster na distribúcie Debianu Linuxu, ako je Kali, spustite:

sudo apt install gobuster

Pre rodinu distribúcií Linuxu RHEL spustite;

sudo dnf install gobuster

Na Arch Linuxe spustite:

yay -S gobuster

Prípadne, ak máte nainštalované Go, spustite:

go install github.com/OJ/gobuster/v3@latest

Ako používať Gobuster

Syntax pre použitie Gobuster na bruteforce adresárov vo webových aplikáciách je:

gobuster dir -u [url] -w [path to wordlist]

Napríklad, ak chcete bruteforce adresáre na https://example.com, príkaz bude vyzerať takto:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. fuf

ffuf je veľmi rýchly webový fuzzer a nástroj na hrubé vnucovanie adresárov napísaný v Go. Je veľmi všestranný a známy najmä svojou rýchlosťou a jednoduchosťou použitia.

Keďže ffuf je napísaný v Go, musíte mať na svojom počítači so systémom Linux nainštalovaný Go 1.16 alebo vyšší. Skontrolujte svoju verziu Go pomocou tohto príkazu:

go version

Ak chcete nainštalovať ffuf, spustite tento príkaz:

go install github.com/ffuf/ffuf/v2@latest

Alebo môžete naklonovať úložisko github a skompilovať ho pomocou tohto príkazu:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Ako používať ffuf do adresárov Bruteforce

Základná syntax pre hrubé vynútenie adresára pomocou ffuf je:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Napríklad na skenovanie https://example.com, príkaz by bol:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. dirsearch

dirsearch je ďalší nástroj príkazového riadka na hrubú silu, ktorý sa používa na vymenovanie adresárov vo webovej aplikácii. Je obzvlášť obľúbený kvôli jeho farebnému výstupu napriek tomu, že ide o aplikáciu založenú na termináli.

Dirsearch môžete nainštalovať cez pip spustením:

pip install dirsearch

Alebo môžete naklonovať úložisko GitHub spustením:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Ako používať dirsearch do adresárov Bruteforce

Základná syntax pre použitie dirsearch na bruteforce adresáre je:

dirsearch -u [URL]

Do adresárov bruteforce https://example.com, všetko, čo musíte urobiť, je:

dirsearch -u https://example.com

Niet pochýb o tom, že tieto nástroje vám ušetria veľa času, ktorý by ste strávili manuálnym uhádnutím týchto adresárov. V kybernetickej bezpečnosti je čas veľkým prínosom, preto každý profesionál využíva open-source nástroje, ktoré optimalizujú jeho každodenné procesy.

Najmä v systéme Linux existujú tisíce bezplatných nástrojov na zefektívnenie vašej práce, všetko, čo musíte urobiť, je preskúmať a vybrať si, čo vám vyhovuje!