Einleitung
In diesem Lab lernen Sie, wie Sie Gobuster, ein beliebtes Tool für das Brute-Forcing von Verzeichnissen und Dateien, effektiv nutzen, um seine Scan-Ergebnisse in einer Datei zu speichern. Das Speichern von Scan-Ergebnissen ist eine grundlegende Praxis in der Cybersicherheit, die eine detaillierte Analyse, Berichterstattung und zukünftige Referenz ermöglicht. Wir werden den Prozess des Erstellens eines Gobuster-Befehls, des Festlegens einer Ausgabedatei, des Ausführens des Scans und der Überprüfung der Integrität der gespeicherten Ergebnisse durchlaufen. Diese Fähigkeit ist für jeden, der an Sicherheitstests für Webanwendungen oder Penetrationstests beteiligt ist, unerlässlich, da sie sicherstellt, dass wertvolle Erkenntnisse ordnungsgemäß dokumentiert und zugänglich sind.
Erstellen eines Standard-Gobuster-dir-Befehls
In diesem Schritt erstellen Sie einen grundlegenden gobuster dir-Befehl. Der gobuster dir-Befehl wird für das Brute-Forcing von Verzeichnissen und Dateien verwendet. Wir werden die Ziel-URL und eine gängige Wortliste angeben.
Stellen Sie zunächst sicher, dass Sie sich im Verzeichnis ~/project befinden.
cd ~/project
Nun erstellen wir den grundlegenden gobuster dir-Befehl. Wir verwenden http://127.0.0.1:8080 als unsere Ziel-URL und /usr/share/wordlists/dirb/common.txt als Wortliste.
gobuster dir -u http://127.0.0.1:8080 -w /usr/share/wordlists/dirb/common.txt
Dieser Befehl beginnt mit dem Scannen des Ziels nach Verzeichnissen und Dateien, die in der Wortliste aufgeführt sind, und zeigt die Ergebnisse direkt im Terminal an.
Erwartete Ausgabe (teilweise):
===============================================================
Gobuster v3.5
by OJ <oj@gobuster.io>
===============================================================
[+] Url: http://127.0.0.1:8080
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirb/common.txt
[+] Add Slash: false
[+] Allow Timeouts: false
[+] User Agent: gobuster/3.5
[+] Timeout: 10s
===============================================================
2024/01/01 12:00:00 Starting gobuster in directory enumeration mode
===============================================================
/admin.html (Status: 200)
/secret.txt (Status: 200)
/testdir (Status: 200)
...
Hinzufügen des Flags -o zur Angabe einer Ausgabedatei
In diesem Schritt modifizieren Sie den gobuster-Befehl, um das Flag -o einzuschließen, mit dem Sie eine Ausgabedatei für die Scan-Ergebnisse angeben können. Dies ist entscheidend, um Ihre Ergebnisse für spätere Analysen zu speichern.
Wir speichern die Ausgabe in einer Datei namens gobuster_results.txt in Ihrem Verzeichnis ~/project.
Modifizieren Sie den vorherigen Befehl, indem Sie -o gobuster_results.txt hinzufügen:
gobuster dir -u http://127.0.0.1:8080 -w /usr/share/wordlists/dirb/common.txt -o gobuster_results.txt
Dieser Befehl führt den Scan aus und schreibt anstatt nur auf die Konsole zu drucken, alle Ergebnisse in die angegebene Datei.
Ausführen des Scans
In diesem Schritt führen Sie den gobuster-Befehl mit dem Flag -o aus. Dies startet den Prozess der Verzeichnisaufzählung und speichert die Ergebnisse in gobuster_results.txt.
Führen Sie den Befehl aus, den Sie im vorherigen Schritt erstellt haben:
gobuster dir -u http://127.0.0.1:8080 -w /usr/share/wordlists/dirb/common.txt -o gobuster_results.txt
Der Scan wird ausgeführt, und Sie sehen möglicherweise einige Ausgaben im Terminal, aber die vollständigen Ergebnisse werden in die Datei umgeleitet. Warten Sie, bis der Scan abgeschlossen ist. Dies kann je nach Größe der Wortliste einige Augenblicke dauern.
Erwartete Ausgabe (teilweise, da die meisten Ausgaben in die Datei gehen):
===============================================================
Gobuster v3.5
by OJ <oj@gobuster.io>
===============================================================
[+] Url: http://127.0.0.1:8080
[+] Method: GET
[+] Threads: 10
[+] Wordlist: /usr/share/wordlists/dirb/common.txt
[+] Add Slash: false
[+] Allow Timeouts: false
[+] User Agent: gobuster/3.5
[+] Timeout: 10s
===============================================================
2024/01/01 12:00:00 Starting gobuster in directory enumeration mode
===============================================================
Überprüfen der Erstellung der Ausgabedatei
In diesem Schritt überprüfen Sie, ob die Datei gobuster_results.txt nach Abschluss des Scans erfolgreich in Ihrem Verzeichnis ~/project erstellt wurde.
Verwenden Sie den Befehl ls, um den Inhalt Ihres aktuellen Verzeichnisses aufzulisten und nach dem Vorhandensein von gobuster_results.txt zu suchen.
ls -l
Sie sollten gobuster_results.txt unter den Dateien aufgelistet sehen.
Erwartete Ausgabe (teilweise):
total 8
-rw-r--r-- 1 labex labex 1234 Jan 1 12:00 gobuster_results.txt
Anzeigen des Inhalts der gespeicherten Ergebnisdatei
In diesem letzten Schritt sehen Sie den Inhalt der Datei gobuster_results.txt, um zu bestätigen, dass die Scan-Ergebnisse korrekt gespeichert wurden.
Verwenden Sie den Befehl cat, um den Inhalt der Datei anzuzeigen:
cat gobuster_results.txt
Sie sollten die gefundenen Verzeichnisse und Dateien zusammen mit ihren HTTP-Statuscodes sehen, ähnlich dem, was Sie in der Terminalausgabe eines gobuster-Scans sehen würden.
Erwartete Ausgabe (teilweise):
/admin.html (Status: 200)
/secret.txt (Status: 200)
/testdir (Status: 200)
Dies bestätigt, dass Ihre gobuster-Scan-Ergebnisse erfolgreich in einer Datei gespeichert wurden, was ein entscheidender Schritt für die Dokumentation und weitere Analyse in realen Szenarien ist.
Zusammenfassung
In diesem Lab haben Sie erfolgreich gelernt, wie Sie gobuster-Scan-Ergebnisse in einer Datei speichern. Sie haben damit begonnen, einen Standard-gobuster dir-Befehl zu erstellen, und ihn dann durch Hinzufügen des Flags -o zur Angabe einer Ausgabedatei verbessert. Nach der Ausführung des Scans haben Sie die Erstellung der Ausgabedatei überprüft und deren Inhalt eingesehen, wodurch bestätigt wurde, dass die Ergebnisse korrekt gespeichert wurden. Diese Fähigkeit ist grundlegend für eine effektive Dokumentation und Analyse bei Web-Sicherheitsbewertungen und Penetrationstests.