如何在 Kali Linux 上安装 Gobuster 工具

攻击互联网应用程序的第一步是**枚举隐藏的目录**和**文件**。这通常可以提供有用的信息，从而更容易执行**特定攻击**，从而减少错误和浪费的精力。有许多工具可用于此目的，但并非所有工具的创建都相同。Gobuster 是一款用**Go 语言**编写的**记录扫描器**，**值得搜索**。像**DirBuste**r 和 **DIRB 功能**这样的**暴力破解**扫描器在流行目录中效果很好，但它们可能速度较慢且对错误响应不灵敏。

Gobuster 可能是这些工具的**Go 实现**，可以从命令行使用。Gobuster 相对于其他目录扫描器的主要优点是它的**速度**。Go 以其作为编程语言的速度而闻名。它还提供**出色的并发性**，允许 Gobuster 利用多个**线程**进行**更快的处理**。不过，**Gobuster** 的一个缺点是**缺乏递归目录探索**。

不幸的是，对于深度超过一级的目录，将需要第二次扫描。这也不是什么大问题，而且其他扫描器可以在这方面加速并填补 Gobuster 的空白。

如何安装 Gobuster

为了安装 Gobuster，我们必须遵循以下步骤

步骤 1：首先，我们必须**创建一个工作目录**来整理文件，然后进入该目录。

步骤 2：接下来，我们需要安装**Gobuster 工具**，因为它默认未包含在 Kali Linux 中。

步骤 3：之后，要运行该工具，我们只需在终端中输入**gobuster -h**。

步骤 4：接下来，我们需要安装额外的**Seclists**来进行目录和文件的**暴力破解**。

默认情况下，Kali 上的**Wordlists**位于**/usr/share/wordlists**目录中。

如何使用 Gobuster 工具进行扫描？

可以使用**终端**或**命令行界面**来启动 Gobuster 工具。现在我们所要做的就是使用以下语法运行命令。

理解 Gobuster [模式]

在终端中输入“gobuster”命令后，我们必须提供模式，这是强制性的，或者需要指定我们正在运行的工具的用途。

Gobuster 工具包含多种模式

Dir：-经典的目录**暴力破解模式**或用于**枚举 URI** 以获取目录和文件。

Gobuster 的 Dir 模式主要用于查找**目标域**或**子域**上的其他内容。这些额外信息包括**隐藏目录**或**隐藏文件**，其中可能包含**敏感数据**。

在**Dir 模式**下，我们可以使用**“-u”**选项来指定我们希望深入挖掘**隐藏目录**和**文件**的**目标域**或**子域**。**-w 选项**也允许我们选择用于**暴力破解**的**字典**。

Dns：- DNS 子域暴力破解模式或枚举子域

Gobuster 工具的**DNS 模式**主要用于**枚举目标域**中的**子域**。此模式可用于查找特定**目标域**的**一些未识别**或**隐藏的子域**。在此模式下，**“-d”选项**用于指定我们需要查找子域的目标域，而**“-w”**选项允许我们选择用于**暴力破解**的字典。

Vhost-虚拟主机暴力破解模式或枚举虚拟主机（与 DNS 不同！）

最后，Gobuster 的 Vhost 模式用于查找**受害者服务器的虚拟主机**。当一家公司在**单个服务器**或**服务器集群**上托管**多个域名**时，这被称为**虚拟****托管**。虚拟托管使单个服务器能够与众多主机名共享其数据和资源。识别服务器上的主机名可以披露与公司相关的额外 Web 内容。在主机模式下，它通过访问创建的**URL**并**仔细检查****IP 地址**来验证**子域**的存在。

在此实例中，我们将主要使用**Gobuster**工具研究**目录**和**文件**，**dir 模式**对我们来说将非常有用。

理解 Gobuster [选项]

输入**特定模式**后，我们必须根据需要指定要求。Gobuster 工具提供了许多选项；要了解它们，请使用**“gobuster -h”**并阅读帮助页面。它可用于探索与**dns**模式精确相关的选项。

以下是选项示例

1. -o, -output string: - 将结果写入的输出文件（**默认为 stdout**）。
2. -q, -quiet: - 不打印横幅和其他噪音。
3. -t, -threads int: - 并发线程数**（默认为 10）**
4. -v, -verbose: - 详细输出（**错误）**