はじめに
Gobuster は、ディレクトリおよびファイルの総当たり攻撃 (brute-forcing)、DNS サブドメインの総当たり攻撃、S3 バケット列挙に使用される強力なツールです。Web サーバー上の隠されたパスやリソースを発見するための、ペネトレーションテスターやセキュリティ愛好家にとって不可欠なユーティリティです。
この実験 (Lab) では、Kali Linux 環境に Gobuster をインストールするための基本的な手順を学びます。ツールをインストールするために apt パッケージマネージャーを使用し、その後、バージョンを確認し、ヘルプメニューを調べることで、インストールの成功を確認します。この実践的な経験により、セキュリティ評価のために Gobuster を使い始めるために必要なスキルを習得できます。
Kali Linux でターミナルを開く
このステップでは、Kali Linux 環境でターミナルウィンドウを開きます。ターミナルは、Gobuster のインストールと検証のためのすべてのコマンドを実行する場所です。
ターミナルを開くには、通常、デスクトップまたはアプリケーションメニューにアイコンがあります。開くと、コマンドプロンプトが表示され、通常はユーザー名と現在のディレクトリ(例:labex@labex-vm:~/project$)が表示されます。
## ここで実行するコマンドはありません。ターミナルを開くだけです。
apt を使用してパッケージリストを更新する
このステップでは、Kali Linux システムのパッケージリストを更新します。これにより、利用可能なパッケージとそのバージョンに関する最新の情報がシステムに反映され、新しいソフトウェアをインストールする前に非常に重要です。
sudo apt update コマンドを使用してパッケージリストを更新します。sudo コマンドは、スーパーユーザー権限でコマンドを実行することを可能にし、パッケージリストの更新のようなシステム全体にわたる操作に必要です。
sudo apt update
以下のような出力が表示され、パッケージリストが更新されていることを示します。
Hit:1 http://kali.download/kali kali-rolling InRelease
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
All packages are up to date.
apt を使用して Gobuster をインストールする
このステップでは、apt パッケージマネージャーを使用して Gobuster をインストールします。Kali Linux のリポジトリには Gobuster が含まれているため、インストールプロセスは簡単です。
sudo apt install gobuster -y コマンドを実行します。-y フラグは、インストール中のプロンプトをすべて自動的に確認するため、非対話的なインストールが可能になります。
sudo apt install gobuster -y
以下のような出力が表示され、インストールの進行状況を示します。
Reading package lists... Done
Building dependency tree... Done
Reading state information... Done
The following NEW packages will be installed:
gobuster
0 upgraded, 1 newly installed, 0 to remove and 0 not upgraded.
Need to get 3,500 kB of archives.
After this operation, 12.5 MB of additional disk space will be used.
Get:1 http://kali.download/kali kali-rolling/main amd64 gobuster amd64 3.1.0-1kali1 [3,500 kB]
Fetched 3,500 kB in 1s (3,000 kB/s)
Selecting previously unselected package gobuster.
(Reading database ... 300000 files and directories currently installed.)
Preparing to unpack .../gobuster_3.1.0-1kali1_amd64.deb ...
Unpacking gobuster (3.1.0-1kali1) ...
Setting up gobuster (3.1.0-1kali1) ...
Processing triggers for man-db (2.10.2-1) ...
バージョンを確認してインストールを検証する
このステップでは、Gobuster のバージョンを確認することで、正常にインストールされたことを検証します。これは、コマンドラインツールがアクセス可能で正しく機能していることを確認するための一般的な方法です。
gobuster --version コマンドを実行します。このコマンドは、インストールされている Gobuster のバージョンを出力します。
gobuster --version
以下のような出力が表示され、バージョン番号を示します。
gobuster v3.1.0
Gobuster ヘルプメニューを表示する
この最終ステップでは、Gobuster のヘルプメニューを表示します。これは、ツールの機能、利用可能なコマンド、およびオプションの概要を把握するための良い方法です。また、Gobuster の実行可能ファイルが完全に機能していることを確認します。
gobuster -h コマンドを実行して、メインのヘルプメニューを表示します。
gobuster -h
様々な Gobuster のモード(例:dir、dns、vhost、s3、gcs、fuzz)とそのそれぞれのオプションをリストした包括的な出力が表示されます。これは、Gobuster が使用可能であることを示しています。
Usage:
gobuster [command]
Available Commands:
dir Uses directory/file brute-forcing mode
dns Uses DNS subdomain brute-forcing mode
fuzz Uses fuzzing mode
help Help about any command
s3 Uses AWS S3 bucket enumeration mode
gcs Uses Google Cloud Storage bucket enumeration mode
vhost Uses VHOST brute-forcing mode
Flags:
-z, --no-color Disable color output
-q, --quiet Don't print the banner and other noise
-v, --verbose Verbose output (errors)
-h, --help help for gobuster
-V, --version version for gobuster
Use "gobuster [command] --help" for more information about a command.
まとめ
この実験では、Kali Linux 環境に apt パッケージマネージャーを使用して Gobuster を正常にインストールしました。システムのパッケージリストを更新し、新しいソフトウェアをインストールし、ツールのバージョンを確認してヘルプメニューを表示することでインストールを検証する方法を学びました。
これで Gobuster がセットアップされ、ディレクトリやファイルのブルートフォースなどの様々なセキュリティタスクに使用できるようになりました。この基礎知識は、Web アプリケーションのセキュリティ評価を実行したり、ターゲットシステム上の隠されたリソースを探索したりしたい人にとって非常に重要です。