Merhaba. Bu yazımda web testlerinde çeşitli enumerationlar (directory, dns, vhost, s3, tftp) yaparken sıklıkla kullanılan ve kali linux üzerinde yüklü olarak gelen Gobuster isimli brute force toolu ele alacağım. Bug Bounty ve Pentest yaparken sıklıkla kullanılmaktadır. Web dizin keşfinde sıklıkla kullanılan gobuster aracını bu yazımda örneklerle birlikte göreceğiz.
Gobuster Nedir?
Gobuster, GO programlama dili ile yazılmış olan bir brute force aracıdır. Gobuster web testlerinde keşif aşamalarında hızlı ve güçlü bir araç olmasından ötürü sıklıkla kullanılmaktadır. Gobuster sisteminizde kurulu değilse aşağıda yer alan linkten github adresine giderek kurulumunu gerçekleştirebilirsiniz.
https://github.com/OJ/gobusterGobuster kurulumunu yapmak için aşağıdaki komutu çalıştırabilirsiniz.
go install github.com/OJ/gobuster/v3@latestGobuster aracını kullanarak aşağıda yer alan taramaları gerçekleştirebiliriz.
- URIs (directories and files) in web sites.
- DNS subdomains (with wildcard support).
- Virtual Host names on target web servers.
- Open Amazon S3 buckets
- Open Google Cloud buckets
- TFTP servers
Yukarıda yer alan tarama modlarını incelemek için man sayfasından ya da help kısmından ulaşabilirsiniz.
gobuster help mode
Gobuster yardım sayfasına -h parametresini kullanarak gidebiliriz.
Gobuster Dir Mode
Adından anlaşılacağı üzere Gobuster directory enumeration modu olan dir modunu inceleyeceğiz. Gobuster toolunu kullanarak kali linux üzerinde örnek bir dizin taraması gerçekleştirelim.
Burada hedef adrese bir dizin taraması gerçekleştirdik ve status code vb. parametreleri eklemedik. Gobuster help sayfasından inceleyerek çeşitli parametreler ile kısıtlamalar yapabilirsiniz.
Gobuster DNS Mode
Gobuster’ın bu modu dns subdomain enumeration yapabileceğimiz bir modudur. Hedef adres üzerinde aşağıda görüldüğü üzere Gobuster ile dns subdomain enumeration yapabiliriz.
Gobuster ile başarılı bir şekilde subdomain keşfi yapabilmekteyiz. Subdomainlerin yanında ip adreslerini görmek istersek -i parametresini ekleyebiliriz.
Gobuster bir çok yeteneği olan güçlü bir araçtır. Yukarıda örnek olması açısından 2 modunu örneklendirdik. Bug Bounty ve Pentest yaparken web testlerinde keşif amaçlı kullanabileceğiniz hızlı bir araçtır. Diğer modlarına help komutunu kullanarak ulaşabilirsiniz ve örneklerle inceleyebilirsiniz.
Başka yazılarda görüşmek üzere.
