How to use Gobuster Tool in Kali

บทนำ

ในการเก็บรวบรวมข้อมูล สำหรับการตรวจสอบ Web application คือ Directory หรือ File ที่อาจซ่อนสู่ นำไปสู่การทดสอบขั้นต่อไปนั้น เราก็มีเครื่องมือหลากหลาย หนึ่งในนั้นคือ Gobuster บทความนี้กล่าวถึงการติดตั้งและทดสอบการใช้งานแบบง่าย ๆ ดังต่อไปนี้

ติดตั้ง

  1. ตรวจสอบว่ามี Tool อยู่ใน Kali หรือไม่
  2. ถ้ายังไม่มีให้ติดตั้งโดยใช้คำสั่ง sudo apt-get install gobuster
  3. รอจนเสร็จสิ้น
  4. จากนั้นลองตรวจสอบว่าสามารถเรียกใช้งานโปรแกรมได้หรือไม่โดยใช้คำสั่ง

การเดา Directory โดยใช้ Wordlists

  • ทดลองใช้คำสั่งข้างล่าง เพื่อตรวจสอบเป้าหมาย ดังนี้ gobuster dir -u http://192.168.208.190 -w /usr/share/wordlists/dirb/common.txt
  • จะได้ผลลัพท์ดังนี้
  • จะเห็นว่ามีการกำหนด wordlist ไว้ข้างต้นสำหรับการเดาไดเรกทอรี ซึ่งขึ้นอยู่กับว่า มีคำศัพท์มากน้อยแค่ไหน ส่งผลในการค้นหา

แสดงผลแบบ Full path

  • เราสามารถให้ gobuster แสดงผลแบบ Full path เพื่อให้เรา copy ไปใช้งาน โดยใส่ option -e ดังนี้ gobuster dir -e -u http://192.168.208.190 -w /usr/share/wordlists/dirb/common.txt
  • ผลลัพธ์แสดงตามภาพ

ตรวจสอบ Wordlist ใน Kali

  • เราสามาระเปลี่ยนการใช้งาน Wordlist ได้โดนสามารถตรวจสอบได้ตาม Directory ข้างล่าง
  • ตัวอย่างคำสั่งดังนี้
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirb/wordlists/big.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirb/wordlists/extensions_common.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirbuster/wordlists/directory-list-1.0.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirbuster/wordlists/directory-list-2.3-small.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/dirbuster/wordlists/directory-list-lowercase-2.3-medium.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/wfuzz/wordlist/general/admin-panels.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/wfuzz/wordlist/webservices/ws-dirs.txt
    • gobuster dir -e -u http://192.168.208.190 -w /usr/share/wfuzz/wordlist/webservices/ws-files.txt