gobuster工具的使用
kali安装命令:
sudo apt install gobuster
模式选择:
| dir | 经典目录暴力破解模式 |
|---|---|
| dns | DNS子域暴力破解模式 |
| s3 | 枚举打开的 S3 存储桶并查找是否存在和存储桶列表 |
| gcs | 枚举打开的谷歌云存储桶 |
| vhost | 虚拟主机暴力破解模式(与DNS不同!) |
| fuzz | 使用模糊测试模式。替换URL、Headers和请求体中的关键词FUZZ |
| tftp | 暴力破解 tftp 文件 |
基础参数:
| 参数 | 详细 | 描述 |
|---|---|---|
| -t | –thread | 设置线程(默认10) |
| -v | –verbose | 详细输出 |
| -z | –no-progress | 不显示进度 |
| -q | –quiet | 不要打印横幅,安静模式 |
| -o | –output | 将结果写入的输出文件 |
目录扫描:
需要使用dir模式(不需要加-),在接一些参数比如:-u(url) -w(wordlist)
例子:gobuster dir -u http://exmple.com –wordlist=/usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
dir 爆破模式(目录爆破)
-u 指定url
例子:gobuster dir -u http://exmple.com -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt
-s 200,204,301)。
还可以使用-x指定需要爆破的扩展名为-x php,html,css
例子:gobuster dir -u http://exmple.com -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -x php,zip,txt -s 200,301
还有一个重要的是使用
-k可以跳过一些网站启用了证书ssl加密,但是浏览器认为是无效证书,需要点击继续访问,使用-k参数即可跳过该验证
常用参数:
| 参数 | 详细 | 描述 |
| -C | –cookie | 请求中使用的cookie |
| -x | –extensions | 指定枚举的扩展名 |
| -H | –headers | 指定请求头 |
| -k | –no-tls-validation | 跳过TLS证书验证 |
| -n | –no-status | 不打印状态码 |
| -s | –status-codes | 肯定的状态码 |
| -b | –status-codes-blacklist | 负面的状态码 |
| -U | –username | Basic验证用户名 |
| -P | –password | Basic验证密码 |
子域名爆破:
1 | |
-d(域名)
| 参数 | 详细 | 描述 |
|---|---|---|
| -c | –show-cname | 显示CNAME记录,不能和-i一起使用 |
| -i | –show-ip | 显示IP地址 |
| -r | –resolver | 自定义DNS服务器 |
FUZZ:
还是用wfuzz吧
gobuster工具的使用
http://example.com/2025/05/22/gobuster工具的使用/