Gobuster es una herramienta utilizada para la fuerza bruta. Este proyecto nace de la necesidad de tener algo que no tuviera una GUI Java pesada (consola FTW), algo que no hiciera fuerza bruta recursiva, algo que me permitiera fuerza bruta carpetas y múltiples extensiones a la vez, algo que compilado de forma nativa en múltiples plataformas, algo que era más rápido que un script interpretado (como Python) y algo que no requería un tiempo de ejecución.
La aplicación proporciona varios modos, como el modo de fuerza bruta de directorio clásico, el modo de fuerza bruta de subdominio DNS, el modo que enumera los depósitos S3 abiertos y busca listas de existencias y depósitos, y el modo de fuerza bruta de host virtual (no es lo mismo que ¡DNS!).
Dado que esta herramienta está escrita en Go, necesita instalar el lenguaje/compilador/etc. de Go. Los detalles completos de la instalación y configuración se pueden encontrar en el sitio web de Go Language. Una vez instalado tienes dos opciones. Necesitas al menos ir a 1.16.0 para compilar gobuster.
Características
- URI (directorios y archivos) en sitios web
- Subdominios DNS (con soporte para comodines)
- Nombres de host virtuales en servidores web de destino
- Abrir depósitos de Amazon S3
- Nuevas opciones CLI para que los modos estén estrictamente separados
- Capacidad para enumerar nombres de vhost
- Abrir depósitos de Google Cloud
- Servidores TFTP
- enumerar depósitos públicos de AWS S3
- modo de fuzzing
- Opción para proporcionar encabezados HTTP personalizados
- especificar el método HTTP
- Fácil de instalar usando binarios o Docker
- Parámetro de desplazamiento de la lista de palabras para omitir x líneas de la lista de palabras
- evitar barras dobles al crear una URL en modo directorio
- permitir múltiples valores y rangos en
--exclude-length - Habilite la compatibilidad con TLS1.0 y TLS1.1
- Admite certificados de cliente TLS/mtls
- admite la carga de extensiones desde un archivo
- Admite cuerpo POST difuso, encabezados HTTP y autenticación básica
- Nueva opción para no canonicalizar los nombres de los encabezados.
- salida de color
- reintentar en tiempo de espera
- enumeración del depósito de nube de Google
Modos disponibles
- dir: el clásico modo de fuerza bruta de directorio
- dns: modo de fuerza bruta del subdominio DNS
- s3: enumera los depósitos S3 abiertos y busca listas de existencias y depósitos
- gcs – Enumerar depósitos abiertos en la nube de Google
- vhost: modo de fuerza bruta del host virtual (¡no es lo mismo que DNS!)
- fuzz: algo de fuzzing básico, reemplaza el
FUZZpalabra clave - tftp – archivos tftp de fuerza bruta
Licencia
Licencia Apache V2.0
Recursos y descargas
Etiquetas
Ciberseguridad pentesting de seguridad Hosting de código abierto Go hacking lingüístico hacking ético
