Gobuster
Gobuster, dizinler ve dosyalar ile DNS alt alan adları da dahil olmak üzere kaba zorlama URI'leri için kullanılan hızlı ve etkili bir araçtır. Web sitelerindeki gizli URL'leri, dosyaları ve dizinleri keşfedebilen bir komut satırı aracıdır. Gobuster, dir, dns ve vhost dahil olmak üzere birden fazla tarama modunda çalışabilir. Bu yazımızda Gobuster'ın nasıl kurulacağını anlatacağız ve kullanılan her komutun detaylı açıklamasını bir örnekle sunacağız.Gobuster
Nasıl Kurulur Gobuster kurulumu yapmadan önce makinemize Go ortamını kurmamız gerekiyor. Gobuster'ı Kali Linux'a kurmanın adımları şunlardır:
1.Go yükleyici dosyasını resmi siteden indirin.
2.Dosyanın depolandığı dizine gidin ve aşağıdaki komutu çalıştırın:
rm -rf /usr/local/go && tar -C /usr/local -xzf go1.16.7.linux-amd64.tar.gz
3.PATH ortam değişkeninize /usr/local/bin/go ekleyin:
export PATH=$PATH:/usr/local/go/bin
4.Aşağıdaki komutla Go ortamının düzgün şekilde kurulup kurulmadığını kontrol edin:
go version
5,Son olarak aşağıdaki komutu çalıştırarak Gobuster'ı yükleyin:
go install github.com/OJ/gobuster/v3@latest
Örneklerle Kullanılan Komutlar
Dir modu için örneklerle birlikte kullanılan komutlar şunlardır:
Sözdizimi : gobuster dir -u [hedef URL] -w [kelime listesi] [seçenekler]
-u : taranacak hedef URL'yi belirtir
-w : tarama için kullanılacak kelime listesini belirtir
-o : sonuçların yazılacağı çıktı dosyasını belirtir (varsayılan olarak stdout'tur)
-q : afişin ve diğer gürültünün yazdırılmayacağını belirtir
-t : eşzamanlı iş parçacıklarının sayısını belirtir (varsayılan 10)
Örnek:
gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt -o output.txt -q -t 20-Bu komut , "/usr/share/wordlists/dirb/common.txt" kelime listesini kullanarak " http://example.com " hedef URL'sini tarayacaktır . Sonuçlar "output.txt" dosyasına yazılacak ve banner ve diğer gürültüler yazdırılmayacaktır. Taramada 20 eşzamanlı iş parçacığı kullanılacaktır.
Gobuster'ın düzgün çalışması için kelime listelerine ihtiyacı olduğunu unutmamak önemlidir. Kelime listeleri SecLists dahil çeşitli kaynaklardan elde edilebilir.
Çözüm Gobuster, web sitelerindeki gizli URL'leri, dosyaları ve dizinleri keşfetmenize yardımcı olabilecek güçlü bir araçtır. Birden fazla tarama modunda çalışabilen hızlı ve etkili bir araçtır. Bu yazımızda Gobuster'ın nasıl kurulacağını anlattık ve kullanılan her komutun detaylı açıklamasını bir örnekle sunduk. Bir sistemi taramadan, kaba kuvvet uygulamadan veya sistemi kötüye kullanmadan önce Gobuster'ı etik bir şekilde ve sahibinin izniyle kullanmak önemlidir.
Genel Kullanılabilecek Komutlar
Küresel bayraklar
-h : (--help) Genel yardım menüsünü yazdırın.
-z : (--noprogress) İlerlemeyi gösterme.
-o : (--output [dosyaadı]) Sonuçları bir dosyaya aktarın.
-q : (--sessiz) Afiş ve diğer sesleri yazdırmayın.
-t : (--threads [sayı]) Eşzamanlı iş parçacıklarının sayısı (varsayılan 10).
-v : (--verbose) Ayrıntılı çıktı (hatalar).
-w : (--kelime listesi [kelime listesi]) Kelime listesinin yolu.
DIR modu bayrakları
-h : (--help) DIR modu yardım menüsünü yazdırın.
-f : (--addslash) Her isteğe "/" ekleyin.
-c : (--cookies [string]) İstekler için kullanılacak çerezler.
-e : (--expanded) Genişletilmiş mod, tam URL'leri yazdır.
-x : (--extensions [string]) Aranacak dosya uzantıları.
-r : (--followredirect) Yönlendirmeleri takip edin.
-H : (--headers [stringArray]) HTTP başlıklarını belirtin, -H 'Header1: val1' -H 'Header2: val2'.
-l : (--includelength) Gövdenin uzunluğunu çıktıya dahil edin.
-k : (--insecuresl) SSL sertifikası doğrulamasını atla.
-n : (--nostatus) Durum kodlarını yazdırma.
-U : (--username [string]) Temel Kimlik Doğrulama için Kullanıcı Adı.
-P : (--password [string]) Temel Kimlik Doğrulama için Şifre.
-p : (--proxy [string]) İstekler için kullanılacak proxy [http(s)://host:port].
-s : (--statuscodes [string])Pozitif durum kodları (ayarlanırsa statuscodesblacklist ile üzerine yazılacaktır) (varsayılan "200,204,301,302,307,401,403").
-b : (--statuscodesblacklist [string]) Negatif durum kodları (ayarlanırsa durum kodlarını geçersiz kılar).
-u : (--url [string]) Hedef URL.
-a : (--useragent [string]) Kullanıcı Aracısı dizesini ayarlayın (varsayılan "gobuster/3.0.1").
--timeout [süre] : HTTP Zaman Aşımı (varsayılan 10 saniye).
--wildcard : Joker karakter bulunduğunda işlemin devam etmesini sağlar.
DNS modu bayrakları
-h : (--help) DNS modu yardım menüsünü yazdırın.
-d : (--domain [string]) Hedef etki alanı.
-r : (--resolver [string]) Özel DNS sunucusu kullanın (sunucu.com veya sunucu.com:bağlantı noktası biçimi).
-c : (--showcname) CNAME kayıtlarını göster ('-i' seçeneğiyle kullanılamaz).
-i : (--showips) IP adreslerini göster.
--timeout [süre] : DNS çözümleyici zaman aşımı (varsayılan 1 saniye).
--wildcard : Joker karakter bulunduğunda işlemin devam etmesini sağlar.
VHOST modu bayrakları
-h : (--help) VHOST modu yardım menüsünü yazdırın.
-r : (--followredirect) Yönlendirmeleri takip edin.
-H : (--headers [stringArray]) HTTP başlıklarını belirtin, -H 'Header1: val1' -H 'Header2: val2'.
-c : (--cookies [string]) İstekler için kullanılacak çerezler.
-k : (--insecuresl) SSL sertifikası doğrulamasını atla.
-U : (--username [string]) Temel Kimlik Doğrulama için Kullanıcı Adı.
-P : (--password [string]) Temel Kimlik Doğrulama için Şifre.
-u : (--url [string]) Hedef URL.
-p : (--proxy [string]) İstekler için kullanılacak proxy [http(s)://host:port].
-a : (--useragent [string]) Kullanıcı Aracısı dizesini ayarlayın (varsayılan "gobuster/3.0.1").
--timeout [süre] : HTTP Zaman Aşımı (varsayılan 10 saniye).
** Daha fazla bilgi için ekstra bağlantılara ve kaynaklara göz atın. **
Citations:
[1] https://sohvaxus.github.io/content/gobuster.html
[2] https://cyberexpert.tech/index.php/2021/12/02/running-gobuster-on-kali-linux/
[3] https://www.javatpoint.com/how-to-install-gobuster-tool-on-kali-linux
[4] https://youtube.com/watch?v=D96YoieXn6M
[5] https://github.com/OJ/gobuster