LabEx
EntrerRejoindre

Explorer le menu d'aide et les modes de Gobuster

Beginner
Pratiquer maintenant

Introduction

Gobuster est un outil puissant en ligne de commande utilisé pour le brute-force des URI (répertoires et fichiers), des sous-domaines DNS et des noms d'hôtes virtuels. C'est un outil populaire parmi les testeurs d'intrusion et les passionnés de sécurité pour découvrir du contenu web caché et des actifs réseau. Comprendre son menu d'aide est crucial pour utiliser efficacement ses fonctionnalités.

Dans ce laboratoire, vous apprendrez à explorer le menu d'aide de Gobuster pour comprendre ses drapeaux globaux (global flags) et ses différents modes opérationnels. Vous examinerez spécifiquement les modes dir (répertoire), dns (sous-domaine DNS) et vhost (hôte virtuel), qui sont couramment utilisés pour différents types de tâches d'énumération. À la fin de ce laboratoire, vous serez familiarisé avec la manière d'accéder à l'aide de Gobuster et de ses modes spécifiques, ce qui vous permettra d'utiliser l'outil plus efficacement dans des scénarios réels.

Exécuter gobuster avec le drapeau --help

Dans cette étape, vous allez exécuter la commande gobuster avec le drapeau --help pour afficher son menu d'aide principal. Cela fournira un aperçu de l'utilisation de base de l'outil, des commandes disponibles et des options globales.

Ouvrez votre terminal dans le répertoire ~/project. Exécutez la commande suivante :

gobuster --help

Vous devriez voir une sortie similaire à celle-ci, montrant l'utilisation générale et les commandes disponibles :

Usage:
  gobuster [command]

Available Commands:
  dir         Uses directory/file enumeration mode
  dns         Uses DNS subdomain enumeration mode
  fuzz        Uses fuzzing mode
  help        Help about any command
  s3          Uses AWS S3 bucket enumeration mode
  vhost       Uses VHOST enumeration mode
  version     Shows the current version

Flags:
  -h, --help          help for gobuster
  -z, --no-color      Disable color output
  -q, --quiet         Don't print banner and other noise
  -v, --verbose       Verbose output (errors)

Use "gobuster [command] --help" for more information about a command.

Cette sortie fournit une référence rapide sur la façon d'utiliser gobuster et liste ses modes principaux.

Identifier les drapeaux globaux

Dans cette étape, vous allez identifier les drapeaux globaux qui peuvent être utilisés avec n'importe quelle commande gobuster. Ces drapeaux sont listés en bas de la sortie d'aide principale.

Examinez la sortie de l'étape précédente. Recherchez la section intitulée Flags:. Ces drapeaux sont globaux, ce qui signifie qu'ils peuvent être appliqués à gobuster lui-même ou à l'une de ses sous-commandes (comme dir, dns, etc.).

Les drapeaux globaux que vous devriez identifier sont :

  • -h, --help : Affiche l'aide pour la commande.
  • -z, --no-color : Désactive la sortie en couleur.
  • -q, --quiet : Supprime la bannière et les autres sorties non essentielles.
  • -v, --verbose : Active la sortie détaillée (verbose), montrant généralement les erreurs.

Comprendre ces drapeaux globaux vous permet de contrôler la sortie et le comportement de gobuster, quel que soit le mode spécifique que vous utilisez.

Lister les modes disponibles (dir, dns, vhost, etc.)

Dans cette étape, vous allez lister les différents modes opérationnels disponibles dans Gobuster. Ces modes dictent le type d'énumération que gobuster effectuera.

À partir de la sortie de gobuster --help, localisez la section intitulée Available Commands:. Cette section liste tous les différents modes ou commandes que gobuster prend en charge.

Vous devriez être en mesure d'identifier des modes tels que :

  • dir : Pour l'énumération de répertoires et de fichiers.
  • dns : Pour l'énumération de sous-domaines DNS.
  • fuzz : Pour le fuzzing.
  • s3 : Pour l'énumération de buckets AWS S3.
  • vhost : Pour l'énumération d'hôtes virtuels (virtual hosts).

Chacun de ces modes possède son propre ensemble d'options et d'utilisation spécifiques. Connaître ces modes est la première étape pour choisir le bon outil pour votre tâche d'énumération.

Afficher l'aide pour un mode spécifique (dir)

Dans cette étape, vous apprendrez comment obtenir l'aide détaillée pour un mode gobuster spécifique, en utilisant le mode dir comme exemple. Le mode dir est utilisé pour le brute-force de répertoires et de fichiers sur les serveurs web.

Pour afficher le menu d'aide du mode dir, exécutez la commande suivante dans votre terminal :

gobuster dir --help

Vous verrez une sortie plus détaillée spécifique au mode dir, incluant ses drapeaux uniques et des exemples d'utilisation. La sortie sera similaire à ceci :

Usage:
  gobuster dir [flags]

Flags:
  -u, --url string         L'URL cible (par exemple http://example.com)
  -w, --wordlist string    Chemin vers la liste de mots (wordlist)
  -a, --useragent string   Définir la chaîne User-Agent (par défaut "gobuster/3.X.X")
  -c, --cookies string     Cookies à utiliser pour la requête
  -e, --expanded           Afficher l'URL développée
  -f, --follow-redirect    Suivre les redirections
  -H, --headers stringArray  Ajouter des en-têtes personnalisés (headers)
  -k, --no-tls-validation  Ignorer la vérification du certificat TLS
  -l, --no-length          Ne pas afficher la longueur du corps (body)
  -m, --method string      Méthode HTTP à utiliser (par défaut "GET")
  -n, --no-status          Ne pas afficher les codes de statut
  -p, --proxy string       Proxy à utiliser pour les requêtes [scheme://host:port]
  -r, --random-useragent   Utiliser une chaîne User-Agent aléatoire
  -s, --status-codes string  Codes de statut à inclure (par exemple "200,204,301") (par défaut "200,204,301,302,307,401,403,500")
  -t, --threads int        Nombre de threads concurrents (par défaut 10)
  -v, --verbose            Sortie détaillée (erreurs)
  -x, --extensions string  Extensions de fichiers à rechercher (par exemple "php,html")
  -z, --no-color           Désactiver la sortie en couleur
      --exclude-length string  Exclure les réponses par longueur de contenu (par exemple "123,456")
      --exclude-wildcard string  Exclure les réponses par wildcard (par exemple "200,404")
      --timeout duration   Délai d'attente HTTP (par défaut 10s)

Global Flags:
  -h, --help          aide pour gobuster
  -q, --quiet         Ne pas imprimer la bannière et le bruit inutile

Cette aide détaillée est essentielle pour comprendre toutes les options disponibles pour une tâche d'énumération spécifique.

Afficher l'aide pour un autre mode spécifique (dns)

Dans cette étape, vous allez afficher le menu d'aide pour un autre mode gobuster spécifique : dns. Le mode dns est utilisé pour le brute-force de sous-domaines DNS.

Pour afficher le menu d'aide du mode dns, exécutez la commande suivante dans votre terminal :

gobuster dns --help

Vous verrez une sortie détaillée spécifique au mode dns, incluant ses drapeaux uniques et des exemples d'utilisation. La sortie sera similaire à ceci :

Usage:
  gobuster dns [flags]

Flags:
  -d, --domain string      Le domaine cible (par exemple example.com)
  -w, --wordlist string    Chemin vers la liste de mots (wordlist)
  -r, --resolver string    Utiliser un serveur DNS personnalisé (par exemple 1.1.1.1)
  -t, --threads int        Nombre de threads concurrents (par défaut 10)
  -z, --no-color           Désactiver la sortie en couleur
      --no-wildcard        Ne pas afficher les entrées wildcard
      --wildcard-ips string  IPs à exclure des entrées wildcard (par exemple "192.168.1.1,192.168.1.2")

Global Flags:
  -h, --help          aide pour gobuster
  -q, --quiet         Ne pas imprimer la bannière et le bruit inutile
  -v, --verbose       Sortie détaillée (erreurs)

En explorant les menus d'aide pour différents modes, vous pouvez rapidement comprendre leurs fonctionnalités et options spécifiques, ce qui est crucial pour une utilisation efficace de gobuster dans divers scénarios d'énumération. Cette approche s'applique également à tous les autres modes de gobuster.

Résumé

Dans ce laboratoire, vous avez exploré avec succès le menu d'aide de l'outil en ligne de commande gobuster et ses différents modes de fonctionnement. Vous avez commencé par consulter le menu d'aide principal pour comprendre son utilisation générale et identifier les drapeaux globaux (global flags). Ensuite, vous vous êtes penchés sur des modes spécifiques comme dir et dns, apprenant comment accéder à leurs options d'aide détaillées.

Vous comprenez maintenant :

  • Comment utiliser gobuster --help pour obtenir un aperçu de l'outil.
  • Comment identifier les drapeaux globaux qui s'appliquent à toutes les commandes gobuster.
  • Les différents modes d'énumération disponibles, tels que dir, dns et vhost.
  • Comment obtenir de l'aide spécifique pour n'importe quel mode gobuster en utilisant gobuster [mode] --help.

Cette connaissance fondamentale est cruciale pour utiliser efficacement gobuster dans vos tâches de cybersécurité, vous permettant de choisir le bon mode et les bonnes options pour vos besoins spécifiques d'énumération.