Kali-linux distribution GNU/Linux spécialisée dans l'audit et le pentest.
Kali-linux.fr Communauté française de kali-linux
Kali-linux.fr > conseil > Gobuster : Le bruteforce de pages web
By sancelisso 10 novembre 2021 conseil 0 Comments

Gobuster : Le bruteforce de pages web

Hello les linuxiens ! Le tutoriel du jour nous lèvera un coin de voile sur un outil très intéressant en matière de test d’intrusion et la chasse aux bugs (bug bounty). Il s’agit de l’outil Gobuster qui fait parler de lui à travers ses prouesses. Alors accrochez-vous 😀

Gobuster, c’est quoi ?

Gobuster est un outil développé en Go et disponible dans les dépôts officiels de Kali Linux. Actuellement à la version 3.1.0, il permet de faire bruteforce des:

  • Répertoires et fichiers d’un site web
  • Sous domaines d’un domaine principal
  • Hôtes virtuelles (vhost) d’un serveur web
  • Buckets Amazon ouverts

Le code source de l’outil est disponible sur Github au lien ci-après : https://github.com/OJ/gobuster

Gobuster dispose de nombreux atouts qui le démarquent des autres outils de son rang.

Les atouts de Gobuster

Parmi ces atouts, nous pouvons noter:

  • Gobuster est uniquement utilisable en ligne de commande
  • Il permet de faire le bruteforce des répertoires et fichiers avec des extensions spécifiques à la fois
  • Un outil conçu en Go et plus rapide qu’un script interprété (comme Python)
  • Un outil qui ne fait pas du bruteforce récursif
  • Il est compilable en natif sur plusieurs plateformes
  • Il donne le libre choix d’ajouter et/ou modifier les headers HTTP

Installation de Gobuster

Comme notifié ci-haut, Gobuster est disponible dans les dépôts officiels de Kali Linux. Alors pour l’installer, il suffit juste de taper la commande suivante

apt-get install gobuster

Les modes de Gobuster

Les fonctionnalités de notre outil sont réparties en des modes ou sous commandes.

Il dispose essentiellement de quatre modes:

  • dir pour l’énumération des répertoires et fichiers
  • dns pour l’énumération des sous domaines
  • s3 pour l’énumération de aws bucket
  • vhost pour l’énumération des vhost

A travers cet article, nous ne parlerons que du premier mode.

Bruteforce d’URL avec Gobuster

De façon basique le bruteforce se fait à partir de la commande ci-après

gobuster dir -u <url> -w <chemin du wordlist>

l’option -u permet de définir l’url sur lequel se fera le bruteforce

l’option -w permet de spécifier le chemin du wordlist à utiliser

Bruteforce d’url avec des extensions

Précédemment, nous avons uniquement effectué le bruteforce des url. Cependant si vous souhaitez un bruteforce des fichiers, il vous suffit d’indiquer quels types d’extension Gobuster doit-il essayer.

gobuster dir -u <url> -w <chemin du wordlist> -x <ext>,<ext>

l’option x permet de spécifier les extensions que nous recherchons. Lorsque vous recherchez plusieurs extensions, il faut les séparer par une virgule.

Filtrer les résultats suivant les codes de réponses

Si vous souhaitez exclure les urls ayant répondu avec un code particulier, il suffit de taper cette ligne de commande:

gobuster dir -u <url> -w <chemin du wordlist> -x <ext>,<ext> -b <code>,<code>

l’option b nous permet d’exclure des codes de réponses spécifique dans les résultats de Gobuster.

Comme sur l’image ci-après, nous avons exclu les codes 404 (par défaut avec Gobuster) et 301. Par conséquent, les url /javascript, /message.txt et /backup n’y figurent plus comme sur l’image précédente.

Si vous souhaitez filtrer uniquement les urls ayant répondu avec un code particulier, il suffit de taper cette ligne de commande:

gobuster dir -u <url> -w <chemin du wordlist> -x <ext>,<ext> -s <code>,<code>

l’option s nous permet de spécifier uniquement les codes de réponses que nous souhaitons que Gobuster affiche dans les résultats

Contournement de la vérification du certificat SSL

Souvent dans nos labs ou même dans des architectures réelles, nous avons à faire avec des hôtes ne disposant pas de certificat SSL ou dont le certificat est expiré.

Gobuster nous permet donc de contouner cet état de chose. Pour faire ce contournemet, il nous faut juste utiliser l’option -k

Augmentation du nombre de thread

Pour augmenter le nombre de threads lors de l’utilisation de Gobuster il faut ajouter l’option -t suivi du nombre que vous souhaitez.

Exportation des résultats de Gobuster

Pour exporter les résultats de Gobuster, il faut ajouter l’option -o suivi de l’emplacement souhaité

Eh Voilà ! C’est tout pour aujourd’hui. J’espère que vous avez pris du plaisir à me lire.

Rendez-vous dans un autre article où nous parlerons des autres modes de Gobuster.

Related Articles

Leave a Comment

Time limit is exhausted. Please reload CAPTCHA.

Votre lab de hacking et Pentest Kali
configuration vpn sous kali linux
VPN Sécurisé compatible kali Linux
installer kali linux sur raspberry pi
Votre kit Raspberry PI de hacking
guide adaptateur wifi hacking
Cartes wifi pour kali linux