Ieškote nemokamų įrankių, skirtų paslėptiems katalogams ir failams žiniatinklio serveryje išvardyti? Čia yra geriausi „Linux“ įrankiai, skirti katalogų suskaidymui.

Key Takeaways

  • Katalogų sulaužymas yra esminė etiško įsilaužimo technika, siekiant aptikti paslėptus katalogus ir failus žiniatinklio serveryje arba programoje.
  • „Linux“ siūlo kelis katalogų sujungimo įrankius, tokius kaip DIRB, DirBuster, Gobuster, ffuf ir dirsearch.
  • Šie įrankiai automatizuoja HTTP užklausų siuntimo į žiniatinklio serverį procesą ir atspėja katalogų pavadinimus, kad surastų išteklius, kurie nereklamuojami svetainės naršymo arba svetainės schemoje.

Kiekvienos žiniatinklio programos žvalgybos etape labai svarbu rasti galimus programos katalogus. Šiuose kataloguose gali būti svarbios informacijos ir radinių, kurie labai padėtų rasti programos spragų ir pagerinti jos saugumą.

Laimei, internete yra įrankių, kurie palengvina, automatizuoja ir pagreitina brutalų katalogų nustatymą. Čia yra penki „Linux“ katalogų kūrimo įrankiai, skirti išvardyti paslėptus katalogus žiniatinklio programoje.

instagram viewer

Kas yra katalogų sprogdinimas?

Katalogas sprogo, taip pat žinomas kaip „brute directory forcing“, yra metodas, naudojamas etiniam įsilaužimui, siekiant aptikti paslėptus katalogus ir failus žiniatinklio serveryje arba programoje. Tai apima sistemingą bandymą pasiekti skirtingus katalogus atspėjant jų pavadinimus arba išvardijant bendrų katalogų ir failų pavadinimų sąrašą.

Katalogų sujungimo procesas paprastai apima automatinių įrankių arba scenarijų, siunčiančių HTTP užklausas į žiniatinklio serverį, naudojimą, bandant skirtingų katalogų ir failų pavadinimų, kad būtų galima rasti išteklius, kurie nėra aiškiai susieti arba reklamuojami svetainės naršymo arba svetainės schema.

Internete yra šimtai nemokamų įrankių, skirtų katalogams sunaikinti. Štai keletas nemokamų įrankių, kuriuos galite naudoti kitame įsiskverbimo bandyme:

1. DIRB

DIRB yra populiarus „Linux“ komandų eilutės įrankis, naudojamas žiniatinklio programų katalogams nuskaityti ir žiauriai sunaikinti. Jame pateikiami galimi katalogai iš žodžių sąrašo, palyginti su svetainės URL.

DIRB jau įdiegtas Kali Linux. Tačiau jei jo neįdiegėte, nėra ko jaudintis. Norėdami jį įdiegti, jums tereikia paprastos komandos.

Jei naudojate „Debian“ platinimą, paleiskite:

sudo apt install dirb

Ne Debian Linux platinimams, pvz., Fedora ir CentOS, vykdykite:

sudo dnf install dirb

„Arch Linux“ paleiskite:

yay -S dirb

Kaip naudoti DIRB „Bruteforce“ katalogams

Žiniatinklio taikomosios programos brutaliojo katalogo prievartavimo sintaksė yra tokia:

dirb [url] [path to wordlist]

Pavyzdžiui, jei imtumėtės žiaurios jėgos https://example.com, tai būtų komanda:

dirb https://example.com wordlist.txt

Taip pat galite paleisti komandą nenurodydami žodžių sąrašo. DIRB naudotų numatytąjį žodžių sąrašo failą, bendras.txt, norėdami nuskaityti svetainę.

dirb https://example.com

2. DirBuster

DirBuster yra labai panašus į DIRB. Pagrindinis skirtumas yra tas, kad „DirBuster“ turi grafinę vartotojo sąsają (GUI), skirtingai nei DIRB, kuri yra komandų eilutės įrankis. DIRB leidžia sukonfigūruoti katalogo bruteforce nuskaitymą pagal savo skonį ir filtruoti rezultatus pagal būsenos kodą ir kitus įdomius parametrus.

Taip pat galite nustatyti gijų skaičių, nustatantį greitį, kuriuo norite paleisti nuskaitymą, ir konkrečius failų plėtinius, kurių norite, kad programa jūsų ieškotų.

Viskas, ką jums reikia padaryti, tai įvesti tikslinį URL, kurį norite nuskaityti, žodžių sąrašą, kurį norite naudoti, failų plėtinius ir gijų skaičių (nebūtina), tada spustelėkite Pradėti.

Vykstant nuskaitymui, „DirBuster“ sąsajoje parodys aptiktus katalogus ir failus. Galite matyti kiekvienos užklausos būseną (pvz., 200 gerai, 404 nerasta) ir aptiktų elementų kelią. Taip pat galite įrašyti nuskaitymo rezultatus į failą tolesnei analizei. Tai padėtų dokumentuoti jūsų išvadas.

„DirBuster“ yra įdiegta „Kali Linux“, bet jūs galite lengvai įdiekite DirBuster Ubuntu.

3. Gobusteris

„Gobuster“ yra komandų eilutės įrankis, parašytas „Go“, naudojamas žiauriai sunaikinti katalogus ir failus svetainėse, „Open Amazon S3“ segmentus, DNS subdomenus, virtualiosios prieglobos pavadinimus tiksliniuose žiniatinklio serveriuose, TFTP serverius ir kt.

Norėdami įdiegti „Gobuster“ „Linux“ „Debian“ paskirstymuose, pvz., Kali, paleiskite:

sudo apt install gobuster

RHEL šeimos Linux platinimams paleiskite;

sudo dnf install gobuster

„Arch Linux“ paleiskite:

yay -S gobuster

Arba, jei įdiegėte „Go“, paleiskite:

go install github.com/OJ/gobuster/v3@latest

Kaip naudotis Gobuster

Sintaksė, skirta naudoti „Gobuster“, kad būtų galima sunaikinti katalogus žiniatinklio programose:

gobuster dir -u [url] -w [path to wordlist]

Pavyzdžiui, jei norite įjungti bruteforce katalogus https://example.com, komanda atrodytų taip:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

„ffuf“ yra labai greitas žiniatinklio „fuzzer“ ir katalogų brutalumo įrankis, parašytas „Go“. Jis yra labai universalus ir ypač žinomas dėl savo greičio ir naudojimo paprastumo.

Kadangi ffuff parašyta Go, jūsų Linux kompiuteryje turi būti įdiegta Go 1.16 arba naujesnė versija. Patikrinkite savo Go versiją naudodami šią komandą:

go version

Norėdami įdiegti ffuff, paleiskite šią komandą:

go install github.com/ffuf/ffuf/v2@latest

Arba galite klonuoti github saugyklą ir kompiliuoti naudodami šią komandą:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Kaip naudoti ffuf į Bruteforce katalogus

Pagrindinė katalogo bruto forcing su ffuf sintaksė yra:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Pavyzdžiui, nuskaityti https://example.com, komanda būtų tokia:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. direkcija

dirsearch yra dar vienas žiauriai priverstinis komandų eilutės įrankis, naudojamas žiniatinklio programos katalogams išvardyti. Jis ypač mėgstamas dėl spalvingos išvesties, nepaisant to, kad ji yra terminalo programa.

Dirsearch galite įdiegti per pip paleidę:

pip install dirsearch

Arba galite klonuoti „GitHub“ saugyklą paleisdami:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Kaip naudoti „Dirsearch“ į „Bruteforce“ katalogus

Pagrindinė sintaksė naudojant dirsearch bruteforce katalogams yra:

dirsearch -u [URL]

Norėdami įjungti brutefortą katalogus https://example.com, viskas, ką jums reikia padaryti, tai:

dirsearch -u https://example.com

Neabejotina, kad šie įrankiai sutaupys daug laiko, kurį galėtumėte sugaišti rankiniu būdu bandydami atspėti šiuos katalogus. Kibernetinio saugumo srityje laikas yra didelis turtas, todėl kiekvienas profesionalas naudojasi atvirojo kodo įrankiais, kurie optimizuoja savo kasdienius procesus.

Yra tūkstančiai nemokamų įrankių, ypač „Linux“, kad jūsų darbas būtų efektyvesnis. Viskas, ką jums reikia padaryti, tai ištirti ir pasirinkti, kas jums tinka!