GOBUSTER: Um Guia Completo para Exploração de Diretórios e Subdomínios no Kali Linux

A exploração de diretórios e subdomínios é uma parte fundamental da segurança cibernética. Uma ferramenta popular usada para esse propósito é o GOBUSTER. Neste artigo, vamos explorar o GOBUSTER em detalhes, desde a sua instalação até a forma de uso no Kali Linux para encontrar diretórios ocultos e subdomínios em um site-alvo. Além disso, forneceremos exemplos de códigos e comandos para auxiliá-lo no processo de exploração.

Instalação do GOBUSTER no Kali Linux

O primeiro passo é instalar o GOBUSTER no seu sistema Kali Linux. O GOBUSTER é uma ferramenta de linha de comando escrita em Go, portanto, você precisará ter o Go instalado no seu sistema. Siga as etapas abaixo para instalar o GOBUSTER no Kali Linux:

Passo 1: Abra o terminal no Kali Linux.

Passo 2: Execute o seguinte comando para instalar o Go:

Bash
sudo apt update
sudo apt install golang

Passo 3: Após a instalação do Go, execute o seguinte comando para instalar o GOBUSTER usando o gerenciador de pacotes Go:

Bash
go get github.com/OJ/gobuster

Uso Básico do GOBUSTER no Kali Linux

Após a instalação, você está pronto para começar a usar o GOBUSTER no Kali Linux para explorar diretórios e subdomínios. Veja o exemplo de comando básico abaixo:

Bash
gobuster dir -u <URL> -w <WORDLIST>
  • -u <URL>: Especifica a URL do site-alvo que você deseja explorar.
  • -w <WORDLIST>: Especifica o caminho para o arquivo de lista de palavras-chave que o GOBUSTER usará para a descoberta.

Exemplos de Uso do GOBUSTER no Kali Linux

Agora, vamos explorar alguns exemplos de uso do GOBUSTER no Kali Linux para ajudá-lo a entender melhor sua funcionalidade. Considere o seguinte cenário:

URL do site-alvo: https://www.exemplo.com Caminho para o arquivo de lista de palavras-chave: wordlist.txt

a) Explorar diretórios:

O comando a seguir irá explorar diretórios no site-alvo usando a lista de palavras-chave especificada:

Bash
gobuster dir -u https://www.exemplo.com -w wordlist.txt

b) Explorar subdomínios:

O comando a seguir irá explorar subdomínios no site-alvo usando a lista de palavras-chave especificada:

Bash
gobuster dns -d exemplo.com -w wordlist.txt

Opções e Personalizações Avançadas no Kali Linux

O GOBUSTER oferece várias opções e personalizações avançadas para melhorar sua eficácia. Aqui estão algumas opções úteis que você pode experimentar no Kali Linux:

  • -t <NUMBER>: Especifica o número de threads a serem usados para a exploração (padrão: 10).
  • -e: Exibe as extensões encontradas durante a exploração.
  • -r: Segue automaticamente redirecionamentos (padrão: desabilitado).
  • -x <EXTENSION>: Especifica uma extensão de arquivo para ser usada durante a exploração.
  • -k: Ignora erros de certificado SSL.

Certifique-se de consultar a documentação oficial do GOBUSTER para obter uma lista completa das opções disponíveis.

Obtendo WordLists

Para obter vários arquivos de WordLists, basta instalar o pacote usando o comando sudo apt install wordlists como exemplo abaixo:

Bash
root@kali:~# wordlists -h

> wordlists ~ Contains the rockyou wordlist

/usr/share/wordlists
|-- amass -> /usr/share/amass/wordlists
|-- brutespray -> /usr/share/brutespray/wordlist
|-- dirb -> /usr/share/dirb/wordlists
|-- dirbuster -> /usr/share/dirbuster/wordlists
|-- dnsmap.txt -> /usr/share/dnsmap/wordlist_TLAs.txt
|-- fasttrack.txt -> /usr/share/set/src/fasttrack/wordlist.txt
|-- fern-wifi -> /usr/share/fern-wifi-cracker/extras/wordlists
|-- john.lst -> /usr/share/john/password.lst
|-- legion -> /usr/share/legion/wordlists
|-- metasploit -> /usr/share/metasploit-framework/data/wordlists
|-- nmap.lst -> /usr/share/nmap/nselib/data/passwords.lst
|-- rockyou.txt.gz
|-- seclists -> /usr/share/seclists
|-- sqlmap.txt -> /usr/share/sqlmap/data/txt/wordlist.txt
|-- wfuzz -> /usr/share/wfuzz/wordlist
`-- wifite.txt -> /usr/share/dict/wordlist-probable.txt

Este pacote contém a lista de palavras rockyou.txt e tem um tamanho de instalação de 134 MB. Este é um arquivo bem completo com milhares de senhas padrões e bastante usadas por administradores desprevinidos.

O arquivo instalado com o pacote está por padrão como um arquivo .gz (compactado) sendo necessário extrai-lo antes do uso, para isso você poderá usar um dos comandos abaixo:

Bash
gunzip file.gz
gzip -d file.gz

Após extraí-lo, basta usar o rockyou.txt como wordlist no GOBUSTER, conforme exemplo abaixo

Bash
gobuster dir -u https://www.exemplo.com -w rockyou.txt

Conclusão

O GOBUSTER é uma ferramenta poderosa e versátil para explorar diretórios e subdomínios em um site-alvo no Kali Linux. Com exemplos de códigos e comandos, você pode começar a utilizá-lo para fortalecer a segurança de sistemas e redes. Lembre-se sempre de utilizar o GOBUSTER de maneira ética e legal, obtendo autorização adequada antes de realizar qualquer teste em sistemas ou sites que não sejam de sua propriedade. Experimente diferentes opções e personalizações para aprimorar suas habilidades de descoberta e proteção em segurança cibernética no Kali Linux.

Site do Kali Linux / GoBuster

Voltar para a sessão Hacking


#GOBUSTER #segurançacibernética #varreduradeportas #análisedevulnerabilidades #hacking #Pentest

Sobre o Autor

Terra
Terra

Apaixonado por tecnologia, trabalha com T.I. e desenvolvimento de softwares desde 1994.

0 Comentários

Deixe um comentário