Gobuster 使用指南

admin 2025年2月8日00:25:01评论144 views字数 1527阅读5分5秒阅读模式

Gobuster 使用指南

Gobuster 是一款高效的目录、子域名和虚拟主机枚举工具,常用于渗透测试和网络安全评估。

1. 安装

  • Debian/Ubuntu:

    sudo apt install gobuster
  • 其他方式
    • Snap: sudo snap install gobuster
    • 源码编译:从 GitHub 获取最新版本。

2. 基本命令结构

gobuster [模式] [选项]

支持模式:dir(目录爆破)、dns(子域名)、vhost(虚拟主机)。

3. 目录爆破模式(dir)

用途:扫描 Web 服务器的隐藏目录或文件。命令示例

gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt -t 50 -x php,html
  • 常用选项
    • -u: 目标 URL。
    • -w: 字典文件路径(如 SecLists 中的 directory-list-2.3-medium.txt)。
    • -t: 线程数(默认 10)。
    • -x: 扫描的扩展名(如 php,html)。
    • --status-codes 200,204,301: 仅显示指定状态码的结果。
    • --exclude-length: 排除特定响应长度的结果。

4. 子域名枚举(dns)

用途:发现目标域名的子域名。命令示例

gobuster dns -d example.com -w /usr/share/wordlists/subdomains-top1million-5000.txt --resolver 8.8.8.8
  • 常用选项
    • -d: 目标域名。
    • -w: 子域名字典。
    • --resolver: 指定 DNS 服务器(默认为系统 DNS)。

5. 虚拟主机扫描(vhost)

用途:识别同一 IP 下的不同虚拟主机。命令示例

gobuster vhost -u http://192.168.1.100 -w /path/to/hostnames.txt
  • 注意:需确保目标服务器支持虚拟主机配置。

6. 高级选项

  • 代理支持

    gobuster dir -u http://example.com -w wordlist.txt --proxy http://127.0.0.1:8080
  • 认证与 Cookies

    gobuster dir -u http://example.com -w wordlist.txt --username admin --password pass --cookie "session=123"
  • SSL 绕过

    gobuster dir -u https://example.com -w wordlist.txt -k

7. 实际示例

  1. 扫描 WordPress 目录

    gobuster dir -u http://example.com/wp-admin -w /usr/share/seclists/Discovery/Web-Content/common.txt -x php -t 100
  2. 快速子域名爆破

    gobuster dns -d example.com -w subdomains.txt -t 50 --resolver 1.1.1.1

8. 常见问题

  • 无结果或结果过多:调整字典或状态码过滤(如 --status-codes 200,301)。
  • 速度慢:增加线程数 -t 100 或检查网络延迟。
  • 证书错误:添加 -k 参数忽略 SSL 验证。

9. 注意事项

  • 合法授权:仅在获得明确授权后使用。
  • 字典选择:根据目标环境调整字典(如使用 raft-large-words.txt 全面扫描)。
  • 隐蔽性:高线程可能触发防火墙,建议结合代理或 Tor。

掌握 Gobuster 可显著提升渗透测试效率,建议从基础命令开始,逐步探索高级功能。

知识分享

欢呼各位热爱网络安全的师傅们加入我们的

原文始发于微信公众号(泷羽Sec-Z1eaf):Gobuster 使用指南

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年2月8日00:25:01
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Gobuster 使用指南https://cn-sec.com/archives/3712187.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息