Добро пожаловать обратно, начинающие хакеры!
Обнаружение веб-контента — критически важный этап взлома веб-приложений. Возможность эффективного перечисления каталогов, файлов и конечных точек на веб-сервере позволяет обнаружить скрытые уязвимости, такие как панели администратора, файлы резервных копий и конфиденциальные ресурсы, которые не связаны напрямую с основным приложением.
Годами инструменты вроде DIRB были идеальным решением. Затем появился Gobuster , предлагающий более высокую скорость и расширенные функции. Теперь у нас есть Feroxbuster — высокопроизводительный рекурсивный инструмент поиска контента на основе Rust, который расширяет границы возможного.
В этом уроке мы рассмотрим Feroxbuster и сравним его с традиционными инструментами подбора паролей каталогов, чтобы увидеть, как он себя проявляет.
kali> sudo apt install feroxbuster -y
Теперь мы можем запустить этот инструмент. Просто добавьте -h после команды, чтобы открыть экран справки.
<strong>kali> feroxbuster -u <a href="http://example.com/">http://example.com</a></strong>
Feroxbuster по умолчанию загрузит список слов raft-medium-directories.txt из репозитория SecLists и выполнит сканирование, аналогичное DIRB, — отображая коды состояния и обнаруженные каталоги в выходных данных.
Для Feroxbuster мы используем следующую команду:
kali> time feroxbuster -u http://target.com -w common.txt -t 50 -q --no-recursion
Feroxbuster завершил сканирование за 52,68 секунды.
Давайте теперь выполним аналогичную команду с помощью Gobuster. (Примечание: Gobuster по умолчанию не использует рекурсию.)
kali> gobuster dir -u http://target.com -w wordlist.txt -t 50 -q
Gobuster завершил сканирование за 52,16 секунды — чуть быстрее, чем Feroxbuster.
Теперь давайте протестируем DIRB.
По умолчанию DIRB работает в одном потоке и автоматически рекурсирует, что может замедлить сравнение временных интервалов. Для справедливости мы отключим рекурсию с помощью -rфлага:
kali> time dirb http://target.com common.txt -r
Выполнено за 756 секунд.
Обнаружение веб-контента — критически важный этап взлома веб-приложений. Возможность эффективного перечисления каталогов, файлов и конечных точек на веб-сервере позволяет обнаружить скрытые уязвимости, такие как панели администратора, файлы резервных копий и конфиденциальные ресурсы, которые не связаны напрямую с основным приложением.
Годами инструменты вроде DIRB были идеальным решением. Затем появился Gobuster , предлагающий более высокую скорость и расширенные функции. Теперь у нас есть Feroxbuster — высокопроизводительный рекурсивный инструмент поиска контента на основе Rust, который расширяет границы возможного.
В этом уроке мы рассмотрим Feroxbuster и сравним его с традиционными инструментами подбора паролей каталогов, чтобы увидеть, как он себя проявляет.
Ключевая философия дизайна
Feroxbuster был построен на нескольких основных принципах:- Производительность : использование скорости Rust и возможностей параллельной обработки для максимальной эффективности сканирования.
- Простота : интуитивно понятный интерфейс командной строки, который прост в использовании как для новичков, так и для опытных профессионалов.
- Рекурсия : автоматическое обнаружение и сканирование подкаталогов без ручного вмешательства.
- Интеллект : внедрение интеллектуальной фильтрации и анализа ответов для уменьшения ложных срабатываний и шума.
- Гибкость : предлагает обширные возможности конфигурации для адаптации к различным сценариям сканирования и целевым средам.
Шаг
Чтобы установить этот инструмент через менеджер APT, просто используйте команду:kali> sudo apt install feroxbuster -y
Теперь мы можем запустить этот инструмент. Просто добавьте -h после команды, чтобы открыть экран справки.
Шаг
Чтобы запустить сканирование по умолчанию на целевом URL, нам нужно просто использовать флаг -u:<strong>kali> feroxbuster -u <a href="http://example.com/">http://example.com</a></strong>
Feroxbuster по умолчанию загрузит список слов raft-medium-directories.txt из репозитория SecLists и выполнит сканирование, аналогичное DIRB, — отображая коды состояния и обнаруженные каталоги в выходных данных.
Шаг
Давайте проведём быстрое сравнение времени работы Feroxbuster, Gobuster и DIRB.Для Feroxbuster мы используем следующую команду:
kali> time feroxbuster -u http://target.com -w common.txt -t 50 -q --no-recursion
- <strong>-t 50</strong>: определяет количество потоков (т. е. одновременных запросов). В этом случае Feroxbuster будет отправлять до 50 одновременных запросов, что значительно увеличивает скорость сканирования.
- <strong>-q</strong>: включает тихий режим, подавляя ненужные выходные данные, такие как баннеры и индикаторы хода выполнения, и отображая только результаты.
- --no-recursion: явно отключить рекурсию.
Feroxbuster завершил сканирование за 52,68 секунды.
Давайте теперь выполним аналогичную команду с помощью Gobuster. (Примечание: Gobuster по умолчанию не использует рекурсию.)
kali> gobuster dir -u http://target.com -w wordlist.txt -t 50 -q
Gobuster завершил сканирование за 52,16 секунды — чуть быстрее, чем Feroxbuster.
Теперь давайте протестируем DIRB.
По умолчанию DIRB работает в одном потоке и автоматически рекурсирует, что может замедлить сравнение временных интервалов. Для справедливости мы отключим рекурсию с помощью -rфлага:
kali> time dirb http://target.com common.txt -r
Выполнено за 756 секунд.
