GoBuster est un outil qui a été construit dans le langage Go, qui peut être utilisé pour les répertoires de force brute ainsi que pour les sous-domaines de force brute. Étant donné que GoBuster est construit sur Go, nous devons d'abord installer Go, puis installer ou configurer le package GoBuster. Jusqu'à ma découverte de Gobuster, j'utilisais des outils tels que Nikto, Cadaver, Skipfish, WPScan, OWASP ZAP et DirBuster. Chacun de ces outils a ses forces et ses faiblesses mais, au final, ils ont tous fonctionné à peu près de la même manière avec des résultats variables. Cependant, je cherchais quelque chose que je pouvais exécuter à partir de la ligne de commande et qui ne contenait pas de client lourd à exécuter.
C'est alors que je suis tombé sur Gobuster. C'était tout ce que je cherchais dans un outil d'énumération Web piloté par ligne de commande. Je peux basculer rapidement entre le forçage brutal des répertoires et l'énumération des hôtes virtuels. Je peux changer de liste de mots à la volée, définir des arguments de ligne de commande pour effectuer la détection de fichiers et enfin, ajuster le nombre de threads. Toutes ces fonctionnalités sont la raison pour laquelle j'ai personnellement utilisé Gobuster lors d'engagements de pentest.
Si vous rencontrez l'erreur ci-dessous lors de l'utilisation de GoBuster :
GoBuster: command not found
vous pouvez essayer d'installer le package ci-dessous selon votre choix de distribution.
| Répartition | Commande |
|---|---|
| OS X | brew install gobuster |
| Debian | apt-get install gobuster |
| Ubuntu | apt-get install gobuster |
| Kali Linux | apt-get install gobuster |
Pour afficher les options disponibles avec la commande GoBuster :
Résumé
Gobuster peut être utilisé pour forcer brutalement les URI et les sous-domaines DNS à partir de la ligne de commande. (Si vous préférez une interface utilisateur graphique, consultez Dirbuster d'OWASP.) Dans Gobuster, vous pouvez utiliser des listes de mots pour les répertoires et sous-domaines communs pour demander automatiquement chaque élément de la liste de mots, envoyer les éléments à un serveur Web et filtrer les réponses intéressantes du serveur. . Les résultats générés par Gobuster vous fourniront le chemin de l'URL et les codes de réponse d'état HTTP. (Bien que vous puissiez forcer brutalement les URI avec Intruder de Burp Suite, Burp Community Edition est beaucoup plus lent que Gobuster.)