TOOLS

Gobuster Nedir? Nasıl Kullanılır? | Kali Linux Gobuster Tool

Merhaba. Bu yazımda web testlerinde çeşitli enumerationlar (directory, dns, vhost, s3, tftp) yaparken sıklıkla kullanılan ve kali linux üzerinde yüklü olarak gelen Gobuster isimli brute force toolu ele alacağım. Bug Bounty ve Pentest yaparken sıklıkla kullanılmaktadır. Web dizin keşfinde sıklıkla kullanılan gobuster aracını bu yazımda örneklerle birlikte göreceğiz.

Gobuster Nedir?

Gobuster, GO programlama dili ile yazılmış olan bir brute force aracıdır. Gobuster web testlerinde keşif aşamalarında hızlı ve güçlü bir araç olmasından ötürü sıklıkla kullanılmaktadır. Gobuster sisteminizde kurulu değilse aşağıda yer alan linkten github adresine giderek kurulumunu gerçekleştirebilirsiniz.

https://github.com/OJ/gobuster

Gobuster kurulumunu yapmak için aşağıdaki komutu çalıştırabilirsiniz.

go install github.com/OJ/gobuster/v3@latest

Gobuster aracını kullanarak aşağıda yer alan taramaları gerçekleştirebiliriz.

  • URIs (directories and files) in web sites.
  • DNS subdomains (with wildcard support).
  • Virtual Host names on target web servers.
  • Open Amazon S3 buckets
  • Open Google Cloud buckets
  • TFTP servers

Yukarıda yer alan tarama modlarını incelemek için man sayfasından ya da help kısmından ulaşabilirsiniz.

gobuster help mode

Gobuster yardım sayfasına -h parametresini kullanarak gidebiliriz.

Gobuster Dir Mode

Adından anlaşılacağı üzere Gobuster directory enumeration modu olan dir modunu inceleyeceğiz. Gobuster toolunu kullanarak kali linux üzerinde örnek bir dizin taraması gerçekleştirelim.

Burada hedef adrese bir dizin taraması gerçekleştirdik ve status code vb. parametreleri eklemedik. Gobuster help sayfasından inceleyerek çeşitli parametreler ile kısıtlamalar yapabilirsiniz.

Gobuster DNS Mode

Gobuster’ın bu modu dns subdomain enumeration yapabileceğimiz bir modudur. Hedef adres üzerinde aşağıda görüldüğü üzere Gobuster ile dns subdomain enumeration yapabiliriz.

Gobuster ile başarılı bir şekilde subdomain keşfi yapabilmekteyiz. Subdomainlerin yanında ip adreslerini görmek istersek -i parametresini ekleyebiliriz.

Gobuster bir çok yeteneği olan güçlü bir araçtır. Yukarıda örnek olması açısından 2 modunu örneklendirdik. Bug Bounty ve Pentest yaparken web testlerinde keşif amaçlı kullanabileceğiniz hızlı bir araçtır. Diğer modlarına help komutunu kullanarak ulaşabilirsiniz ve örneklerle inceleyebilirsiniz.

Başka yazılarda görüşmek üzere.

Serdar Daşdemir

Cyber Security Specialist / Pentester

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu