ホワイトハッカーの知識
CTFやバグハンティングで広く使われるツールとして、Gobusterコマンドがあります。
Gobusterとは
Gobusterは、Webサイト内のURI(ディレクトリとファイル)、DNSサブドメイン(ワイルドカードサポート付き)、ターゲットWebサーバー上の仮想ホスト名、オープンAmazon S3バケット、オープンGoogle Cloudバケット、およびTFTPサーバーをブルートフォース攻撃するために使用されるツールです。
Gobusterは、侵入テスト担当者、倫理ハッカー、フォレンジック専門家にとって便利です。また、セキュリティ テストにも使用できます。
機能および特徴
Gobusterは、ブルートフォース攻撃に使用されるツールです。
・Webサイト内のURI(ディレクトリとファイル)
・DNSサブドメイン(ワイルドカードサポート付き)
・ターゲットWebサーバー上の仮想ホスト名
・Amazon S3バケットを開く
・Google Cloudバケットを開く
・TFTPサーバー
ツールの場所
1.Gobusterは標準でインストールされていない様子の為、インストールします。(Kali Linux)
2.画面上部メニューより、「Terminal Emulator」から「Root Terminal Emulator」を選択します。
3.認証画面で、Kali Linuxのパスワード"kali"を入力して「承認する」ボタンを押下します。
4.Root Terminal Emulatorが立ち上がりました。
5."gobuster“と入力して、Enterボタンを押下します。
6.以下の応答が帰ってくるので"y"( インストール)ボタンを押下して、Enterボタンを押下します。
コマンド 'gobuster’が見つかりません。次の方法でインストールできます。
apt install gobuster
インストールしますか?(N/y)
※ここで、「Error:Unable to locate package sherlock」と表示された場合は
Kali Linuxをアップデートして、その後アップグレートしてください。
#apt update
#apt full-upgrade -y
アップグレート後、"Gobuster"と入力して、Enterボタンを押下します。
8.Gobusterが インストールされました。
9."Gobuster"を実行します。
gobuster -h (Gobusterのヘルプです。)
これでGobusterがインストールされたことを確認しました。
メニューには"Gobuster"が登録されていないため、直にターミナルから"Gobuster [オプション}"を入力してください。
ツールと使用方法
gobuster [command]
コマンドの詳細については、
gobuster [command] –help をご利用ください。
例:Webサイト上の潜在的に隠されたページを見つけます。
gobuster -u http://fakebank.thm -w wordlist.txt dir
実行すると
“/bank-transfer"が潜在的に隠されたページになります。
※動作確認は「TryHackMe」を利用しました。
TryHackMeとはテスト環境でハッキングのシナリオを元に実践的なサイバーセキュリティのトレーニングが実践できるサイトです。詳しくはこちらを御覧ください。(無料で利用できます。)
オプション(options)
・Available Commands
指定されたシェルのオートコンプリートスクリプトを生成します。
dir
Uses directory/file enumeration mode
ディレクトリ/ファイル列挙モードを使用します。
dns
Uses DNS subdomain enumeration mode
DNSサブドメイン列挙モードを使用します。
fuzz
Uses fuzzing mode. Replaces the keyword FUZZ in the URL, Headers and the request body
ファジングモードを使用します。URL、ヘッダー、リクエストボディのキーワード FUZZ を置き換えます。
gcs
Uses gcs bucket enumeration mode
gcsバケツ列挙モードを使います。
help
Help about any command
コマンドに関するヘルプ。
s3
Uses aws bucket enumeration mode
awsバケツ列挙モードを使用します。
tftp
Uses TFTP enumeration mode
TFTP列挙モードを使用します。
version
shows the current version
現在のバージョンを表示します。
vhost
Uses VHOST enumeration mode (you most probably want to use the IP address as the URL parameter)
VHOST列挙モードを使用します。(おそらくURLパラメータとしてIPアドレスを使用したいでしょう)
・フラグ(Flags)
–debug
Enable debug output
デバッグ出力を有効にする。
–delay duration
Time each thread waits between requests (e.g. 1500ms)
duration 各スレッドがリクエストの間に待つ時間。(例: 1500ms)
-h, –help
help for gobuster
gobusterのヘルプ。
–no-color
Disable color output
カラー出力を無効にする。
–no-error
Don’t display errors
エラーを表示しない。
-z, –no-progress
Don’t display progress
進捗を表示しない。
-o, –output string
Output file to write results to (defaults to stdout)
結果を書き込む出力ファイル。(デフォルトは標準出力)
-p, –pattern string
File containing replacement patterns
置換パターンを含むファイル。
-q, –quiet
Don’t print the banner and other noise
バナーなどのノイズを表示しない。
-t, –threads int
Number of concurrent threads (default 10)
同時スレッド数。(デフォルト10)
-v, –verbose
Verbose output (errors)
詳細出力(エラー)。
-w, –wordlist string
Path to the wordlist. Set to – to use STDIN.
ワードリストへのパス。STDINを使用する場合は-を設定する。
–wordlist-offset int
Resume from a given position in the wordlist (defaults to 0)
ワードリストの指定位置から再開する。(デフォルトは0)
ハッカーはgobusterを利用して、隠れたディレクトリ・サブドメインを発見gobusterしますのまとめ
Gobusterは、Kali Linuxに標準搭載されている高速なディレクトリ・サブドメイン探索ツールです。
主にディレクトリ・ファイルの探索(dirモード)、サブドメインの列挙(dnsモード)、VHOST:バーチャルホストの探索(vhostモード)に使用されます。
GobusterはCTFやバグハンティングで広く使われ、適切なワードリストを選択することでより効率的なスキャンが可能です。