Gobuster
## Giriiş
Gobuster, dizinler ve dosyalar ve DNS alt etki alanları da dahil olmak üzere URI'leri kaba kuvvetle zorlamak için kullanılan hızlı ve etkili bir araçtır. Web sitelerindeki gizli URL'leri, dosyaları ve dizinleri keşfedebilen bir komut satırı aracıdır. Gobuster, dir, dns ve vhost dahil olmak üzere birden fazla tarama modunda çalışabilir. Bu makalede, Gobuster'ın nasıl yükleneceğini açıklayacağız ve kullanılan her komutun bir örnekle ayrıntılı bir açıklamasını sağlayacağız.
## Gobuster Nasıl Kurulur
Gobuster'ı yüklemeden önce makinemize Go ortamını yüklememiz gerekiyor. Kali Linux'a Gobuster'ı yükleme adımları şunlardır:
1. Go kurulum dosyasını resmi siteden indirin.
2. Dosyanın saklandığı dizine gidin ve aşağıdaki komutu çalıştırın:
``` rm -rf /usr/local/go && tar -C /usr/local -xzf go1.16.7.linux-amd64.tar.gz ```
3. /usr/local/bin/go'yu PATH ortam değişkeninize ekleyin:
``` PATH=$PATH:/usr/local/go/bin'i dışa aktar ```
4. Aşağıdaki komutla Go ortamının düzgün kurulup kurulmadığını kontrol edin:
``` sürümüne git ```
5. Son olarak aşağıdaki komutu çalıştırarak Gobuster'ı yükleyin:
``` github.com/OJ/gobuster/v3@latest'i kurun ```
## Örneklerle Kullanılan Komutlar
İşte dir modu için kullanılan komutlar ve örnekleri:
- **Sözdizimi**: gobuster dir -u [hedef URL] -w [kelime listesi] [seçenekler]
- **-u**: taranacak hedef URL'yi belirtir
- **-w**: tarama için kullanılacak kelime listesini belirtir
- **-o**: sonuçların yazılacağı çıktı dosyasını belirtir (varsayılan olarak stdout'tur)
- **-q**: afişin ve diğer gürültülerin yazdırılmayacağını belirtir
- **-t**: eşzamanlı iş parçacığı sayısını belirtir (varsayılan 10)
Örnek: `gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt -o output.txt -q -t 20`
Bu komut, "/usr/share/wordlists/dirb/common.txt" kelime listesini kullanarak hedef URL "http://example.com"u tarayacaktır. Sonuçlar "output.txt" dosyasına yazılacak ve banner ve diğer gürültüler yazdırılmayacaktır. Tarama 20 eşzamanlı iş parçacığı kullanacaktır.
Gobuster'ın düzgün çalışması için kelime listelerine ihtiyaç duyduğunu belirtmek önemlidir. Kelime listeleri SecLists dahil olmak üzere çeşitli kaynaklardan elde edilebilir.
## Çözüm
Gobuster, web sitelerindeki gizli URL'leri, dosyaları ve dizinleri keşfetmeye yardımcı olabilen güçlü bir araçtır. Birden fazla tarama modunda çalışabilen hızlı ve etkili bir araçtır. Bu makalede, Gobuster'ın nasıl kurulacağını açıkladık ve kullanılan her komutun bir örnekle ayrıntılı bir açıklamasını sağladık. Bir sistemi taramadan, kaba kuvvet uygulamadan veya istismar etmeden önce Gobuster'ı etik bir şekilde ve sahibinden izin alarak kullanmak önemlidir.
Yaygın Kullanılabilir Komutlar
Dünya bayrakları
-h : (--help) Genel yardım menüsünü yazdırır.
-z : (--noprogress) İlerlemeyi gösterme.
-o : (--output [dosya adı]) Sonuçları bir dosyaya çıktı olarak verir.
-q : (--quiet) Afiş ve diğer gürültüleri yazdırma.
-t : (--threads [sayı]) Eşzamanlı iş parçacığı sayısı (varsayılan 10).
-v : (--verbose) Ayrıntılı çıktı (hatalar).
-w : (--wordlist [kelime listesi]) Kelime listesine giden yol.
DIR modu bayrakları
-h : (--help) DIR modu yardım menüsünü yazdırır.
-f : (--addslash) Her isteğe "/" ekle.
-c : (--cookies [dize]) İstekler için kullanılacak çerezler.
-e : (--expanded) Genişletilmiş mod, tam URL'leri yazdırır.
-x : (--extensions [dize]) Aranacak dosya uzantısı(ları).
-r : (--followredirect) Yönlendirmeleri takip et.
-H : (--headers [dizedizisi]) HTTP başlıklarını belirtin, -H 'Başlık1: val1' -H 'Başlık2: val2'.
-l : (--includelength) Çıktıya gövdenin uzunluğunu dahil et.
-k : (--insecuressl) SSL sertifika doğrulamasını atla.
-n : (--nostatus) Durum kodlarını yazdırma.
-U : (--username [dize]) Temel Kimlik Doğrulama için Kullanıcı Adı.
-P : (--password [dize]) Temel Kimlik Doğrulama için Parola.
-p : (--proxy [dize]) İstekler için kullanılacak proxy [http(s)://host:port].
-s : (--statuscodes [dize])Olumlu durum kodları (ayarlanırsa statuscodesblacklist ile üzerine yazılacaktır) (varsayılan "200,204,301,302,307,401,403").
-b : (--statuscodesblacklist [dize]) Olumsuz durum kodları (ayarlanırsa durum kodlarını geçersiz kılar).
-u : (--url [dize]) Hedef URL.
-a : (--useragent [dize]) Kullanıcı Aracısı dizesini ayarlar (varsayılan "gobuster/3.0.1").
--timeout [süre] : HTTP Zaman Aşımı (varsayılan 10 saniye).
--wildcard : Joker karakter bulunduğunda işlemin devam etmesini sağlar.
DNS modu bayrakları
-h : (--help) DNS modu yardım menüsünü yazdırır.
-d : (--domain [dize]) Hedef etki alanı.
-r : (--resolver [dize]) Özel DNS sunucusunu kullan (format server.com veya server.com:port).
-c : (--showcname) CNAME kayıtlarını göster ('-i' seçeneğiyle kullanılamaz).
-i : (--showips) IP adreslerini göster.
--timeout [süre] : DNS çözümleyici zaman aşımı (varsayılan 1 sn).
--wildcard : Joker karakter bulunduğunda işlemin devam etmesini sağlar.
VHOST modu bayrakları
-h : (--help) VHOST modu yardım menüsünü yazdırır.
-r : (--followredirect) Yönlendirmeleri takip et.
-H : (--headers [dizedizisi]) HTTP başlıklarını belirtin, -H 'Başlık1: val1' -H 'Başlık2: val2'.
-c : (--cookies [dize]) İstekler için kullanılacak çerezler.
-k : (--insecuressl) SSL sertifika doğrulamasını atla.
-U : (--username [dize]) Temel Kimlik Doğrulama için Kullanıcı Adı.
-P : (--password [dize]) Temel Kimlik Doğrulama için Parola.
-u : (--url [dize]) Hedef URL.
-p : (--proxy [dize]) İstekler için kullanılacak proxy [http(s)://host:port].
-a : (--useragent [dize]) Kullanıcı Aracısı dizesini ayarlar (varsayılan "gobuster/3.0.1").
--timeout [süre] : HTTP Zaman Aşımı (varsayılan 10 saniye).
** Daha fazla bilgi için ek bağlantılara ve kaynaklara bakın. **
Alıntılar:
[1] https://sohvaxus.github.io/content/gobuster.html
[2] https://cyberexpert.tech/index.php/2021/12/02/gobuster'ı-kali-linux-üzerinde-çalıştırma/
[3] https://www.javatpoint.com/gobuster-tool-kali-linux-uzerine-nasil-kurulur
[4] https://youtube.com/watch?v=D96YoieXn6M
[5] https://github.com/OJ/gobuster