Dirbuster Aracı İle Dizin Taraması :
Dirbuster aracımız hedef sistem üzerinde gizli dizin taraması yapıyor ve bize var olan gizli dizinleri listeliyor, sızma testlerinde çok önemli bir aşama olduğu için dirbuster önemlidir.
Kullanımı kolay bir araçtır. Kali linux üzerinden hazır olarak gelmektedir.
sudo apt-get install dirbuster
komutuyla yükleme yapabiliriz.
Terminal üzerinde dirbuster yazarak çalıştırabiliriz. Basit bir arayüze sahip.
Dirbuster aracının özellikleri;
- Target URL : Hedef site adresi
- Work Method(1): İstek yapılırken kullanılan HTTP metot tipi.GET ve HEAD metotları ile istek gerçekleştiriliyor.
- Number of Threads: Yapılacak istekleri thread mantığıyla gerçekleştirme. Go Faster ile 200 thread çalışır.
- Brute Force için dizin-dosya listesi gösterilir. /usr/share/dirbuster/wordlist dizininde varolan wordlist ler seçilebilinir.
- Start işlemi ile taramaya ait göstergelere bakabiliriz.
Burda seçmiş olduğumuz wordlist içindeki bütün teknikleri denemer. biraz uzun sürer ama sağlam sonuc alacağımız bir araçdır.
Dirb Aracı İle Dizin Taraması :
Dirb aracımız dirbuster aracımızın terminal üzerinden kontrol edebildiğimiz alternatif araçtır.
Dirb aracıda dirbuster gibi aynı işlemi yapıyor yani hedef sistem üzerinden gizli dizin tarama gerçekleştiriyor ve döndürdüğü cevaplarla bizlere bir çıktı sunuyor.
sudo apt-get install dirb
yazarak kurulumunu gerçekleştiriyoruz. Kullanımı çok basitdir. Ben burda typhon makinama bir tarama yapacağım.
dirb http://10.0.2.22/
komutu ile tarama başlatması için yeterlidir. çok kolay bir tooldur. kendi içindeki hazır olan wordlistlerden tarama başlatır. bircok link tespit eder ama 400 le başlayan hata kodları alır verdiği linklere girince. http 400-500 arasında aldığımız hatalar erişemediğimizi söyler istemci hatalarıdır. 200-300 arası döndürdüğü cevaplar bizim başarılı aldığımız cevaplardır.
Basitçe çalışma mantığı bukadardır.
Gobuster Aracı İle Dizin Taraması :
Gobuster bir dizin keşfi yapan brute-force (kaba-kuvvet) saldırı programıdır.
-Web sitelerinde dizinleri ve dosyaları tespit etmeye,
-Dns subdomain taraması yapmaya,
-Sunucuda barınan VHost’ları bulmaya yarar.
Kali içerisinde sık kullanılan ‘dirb’ aracı ile neredeyse aynı işlevi görmektedir. Kimi kullanıcılara göre gobuster, dirb’den daha iyi olduğu bile söylenmekte. Güzel bir araç sızma testlerinde ve ctf tarzı yarışmalarda vb işlemlerde kullanımı oldukça güzel bir araçtır.
sudo apt-get install gobuster
kali kendi kütüphanesinden yükler.
gobuster -h // parametreleri gösterir. ör:dir yazarsan diroctoru tarama yapr dns yazarsan dns tarar vs.siz kendiniz inceleyebilirsiniz bu parametreleri. Ben typhoon aracıma bir tarama yapacağım.
gobuster dir -u http://10.0.2.21/ -w /usr/share/wordlist/dirb/common.txt
(-u url anlamına gelir, -w wordlist belirtmek içindir. yeni bir terminale locate dirb yazarsak dirb içindeki wordlistleri listeler onu kullanabiliriz.) tarama başlar. hızlıca sonuçlandırır. 200-300 hata durumları olanları kopyalayıp üzerlerinde denemeler yaparak inceleyebiliriz.
faydası olması dileğiyle.