GoBuster es una herramienta que se creó en el lenguaje Go, que se puede usar para directorios de fuerza bruta y subdominios de fuerza bruta. Dado que GoBuster se basa en Go, primero debemos instalar Go y luego instalar o configurar el paquete GoBuster. Hasta que descubrí Gobuster, usaba herramientas como Nikto, Cadaver, Skipfish, WPScan, OWASP ZAP y DirBuster. Cada una de estas herramientas tiene sus fortalezas y debilidades pero, al final, todas funcionaron más o menos igual con diferentes resultados. Sin embargo, estaba buscando algo que pudiera ejecutar desde la línea de comandos y que no contuviera un cliente pesado para ejecutar.
Fue entonces cuando me topé con Gobuster. Era todo lo que estaba buscando en una herramienta de enumeración web basada en línea de comandos. Puedo cambiar rápidamente entre la fuerza bruta de directorio y la enumeración de host virtual. Puedo cambiar las listas de palabras sobre la marcha, establecer argumentos de línea de comandos para realizar la detección de archivos y, finalmente, ajustar el número de subprocesos. Todas estas características son la razón por la que personalmente he estado usando Gobuster durante los compromisos de pentest.
Si encuentra el siguiente error al usar GoBuster:
GoBuster: command not found
puede intentar instalar el siguiente paquete según su elección de distribución.
| Distribución | Comando |
|---|---|
| OS X | instalación de cerveza gobuster |
| Debian | apt-get install gobuster |
| Ubuntu | apt-get install gobuster |
| Kali Linux | apt-get install gobuster |
Para ver las opciones disponibles con el comando GoBuster:
Resumen
Gobuster se puede utilizar para aplicar fuerza bruta a URI y subdominios DNS desde la línea de comandos. (Si prefiere una interfaz gráfica de usuario, consulte Dirbuster de OWASP). En Gobuster, puede usar listas de palabras para directorios y subdominios comunes para solicitar automáticamente cada elemento de la lista de palabras, enviar los elementos a un servidor web y filtrar las respuestas interesantes del servidor. . Los resultados generados por Gobuster le proporcionarán la ruta URL y los códigos de respuesta de estado HTTP. (Aunque puede aplicar fuerza bruta a los URI con Intruder de Burp Suite, Burp Community Edition es mucho más lento que Gobuster).