DirBuster - Descobrindo todos os diretórios de um site

Publicado por Perfil removido em 13/06/2012

[ Hits: 76.549 ]

 


DirBuster - Descobrindo todos os diretórios de um site



E aí galera! Essa é a minha primeira dica no Viva o Linux e irei falar sobre o projeto DirBuster.

O que é DirBuster

DirBuster é uma aplicação feita em Java para descobrir nomes de diretórios e arquivos presentes em um site ou servidor usando bruteforce. Com isso, torna-se mais fácil a busca por algum diretório específico, facilitando a busca por dados ou diretórios que deveriam ser sigilosos.

O DirBuster tenta encontrar todos os diretórios e arquivos do site alvo.

No entanto, ferramentas dessa natureza são muitas vezes listadas com arquivos e diretórios comuns (padrões, exemplo: /admin/login.php).

Uma abordagem diferente foi levada para gerar este. A lista foi gerada a partir do zero, por meio da indexação da Internet e recolhe o diretório e os arquivos que são realmente usadas por desenvolvedores!

DirBuster vem com um total de 9 listas diferentes, isto faz DirBuster extremamente eficaz para encontrar os arquivos e diretórios ocultos, ou que não seguem um padrão.

E se isso não fosse suficiente, DirBuster também tem a opção de realizar uma força bruta pura, o que deixa os diretórios e arquivos ocultos sem onde se esconder.

Para todos os efeitos, isso pode demorar muito tempo. ;(

Download

Todos os arquivos podem ser encontrados neste link:
Arquivo usado no tutorial:

Instalação e uso

Caso use BackTrack, o DirBuster pode ser encontrado no diretório "pentest/web/dirbuster" e a instalação não é necessária.

# cd /pentest/web/dirbuster

Descompacte o arquivo:

# tar -jxvf DirBuster-0.12.tar.bz2
# cd DirBuster-0.12

Para rodar o programa:

# java -jar DirBuster-0.12.jar -u

O comando acima irá iniciar a forma GUI (interface gráfica) do DirBuster e dessa maneira fica muito mais fácil trabalhar.

Na imagem, o DirBuster:
Linux: Encontrando todos os diretorios de um site
Como podem ver, tem uma interface muito agradável e fácil de utilizar. Creio que será difícil alguém ter alguma dúvida sobre como usar, mas caso tenham duvidas, é só deixar um comentário abaixo.

Características

O DirBuster oferece os seguintes recursos:
  • Multi-threaded foi registrada em mais de 6.000 solicitações por segundo.
  • Analisa sites HTTP e HTTPS.
  • Verificar se há tanto de diretórios e arquivos.
  • Capaz de executar uma lista de verificação de força bruta baseado em uma wordlist ou pura.
  • DirBuster pode ser iniciado em qualquer diretório.
  • Cabeçalhos HTTP personalizados podem ser adicionados.
  • Suporte a proxy.
  • Extensões de arquivos personalizados podem ser usados.
  • O desempenho pode ser ajustado durante o programa em execução.
  • Suporta Basic, Digest e NTLM auth.
  • Pode ser executado por linha de comando ou interface gráfica.

As listas do DirBuster

DirBuster vem com um conjunto de listas únicas de diretórios e arquivos, estas foram geradas com base no arquivo e diretório de nomes que sejam efectivamente utilizadas por desenvolvedores de sites da internet.

A ordem das listas é baseado na frequência do item encontrado. Portanto, os itens mais comuns aparecem no topo. Estas listas são o que fazem DirBuster.
  • directory-list-2.3-small.txt - (87650 palavras) - Directories/files que, são encontradas em pelo menos 3 hosts diferentes.
  • directory-list-2.3-medium.txt - (220546 palavras) - Directories/files que, são encontradas em pelo menos 2 hosts diferentes.
  • directory-list-2.3-big.txt - (1273819 palavras) - Todos directories/files que foram encontrados.
  • directory-list-lowercase-2.3-small.txt - (81629 palavras) - Case insensitive versão da lista directory-list-2.3-small.txt.
  • directory-list-lowercase-2.3-medium.txt - (207629 palavras) - Case insensitive versão da lista directory-list-2.3-medium.txt.
  • directory-list-lowercase-2.3-big.txt - (1185240 palavras) - Case insensitive versão da lista directory-list-2.3-big.txt.
  • directory-list-1.0.txt - (141694 palavras) -Lista original sem ordem,organização específica.
  • apache-user-enum-1.0.txt - (8916 usernames) - Usado para adivinhar os usuários do sistema no Apache com o módulo userdir habilitado, com base em uma lista de nome de usuário (não ordenados).
  • apache-user-enum-2.0.txt - (10341 usernames) - Usado para adivinhar os usuários do sistema no Apache com o módulo userdir habilitado, com base em ~XXXXX encontrado durante a geração da lista (ordenada).

Para quem quiser saber mais sobre o projeto, como funciona etc:
Outras dicas deste autor

Alterando o fuso horário no Linux

Como criar um editor de textos no Lazarus - Vídeo aula

Montando um disco virtual (.vdi) no sistema hospedeiro

Assistindo DVD no Ubuntu 6.06 pelo Kaffeine

Editor Vim - Introdução e trabalhando com Vim

Leitura recomendada

Java atualizado no Ubuntu 9.10

Banco do Brasil no Slackware 14.2 com Firefox

Java 8 Oracle no Fedora 21 - Esse funciona!

SIAFI Gerencial e Operacional no Ubuntu 12.04

GlassFish vs Apache

  

Comentários
[1] Comentário enviado por rony_souza em 17/06/2012 - 11:18h

Excelente oportunidade de aprendizado

[2] Comentário enviado por claudioramos em 05/07/2015 - 15:20h

Muito Bom tutorial, me ajudou para caramba.
Obrigado por ter contribuído !



Contribuir com comentário




Patrocínio

Site hospedado pelo provedor RedeHost.
Linux banner

Destaques

Artigos

Dicas

Tópicos

Top 10 do mês

Scripts