네트워크 해킹과 보안을 보던 중 DirBuster라는 tool을 알게 되었다.
자세한 내용: https://www.owasp.org/index.php/Category:OWASP_DirBuster_Project 참고
다운로드: http://sourceforge.net/projects/dirbuster/
DirBuster는 OWASP(The Open Web Application Security Project)에서 제작한 웹 퍼징 도구 중 하나이다.
kali에서는 DirBuster tool이 기본으로 설치되어 있다. (kali 설치: http://kkn1220.tistory.com/30 참고)
kali 이외 다른 곳에서 실행할 시
설치 및 사용
1. Unzip or untar the download file
2. $cd <download path & into the program directory>
3. java -jar DirBuster-(version) //윈도우에서 실행 시 jar파일 더블클릭
4. directory-list-2.3-medium.txt 를 추천
필요사항
1. Dirbuster는 java 1.6 이상을 필요로 함
아래는 2015년 8월에 릴리즈한 kali 2.0 버전이다.
메뉴에서 03-WebApps에서 dirbuster를 선택하는 방법과
커맨드창에서 dirbuster를 실행하는 방법이 있다.
아래는 실행 화면이다.
방법은 간단하다.
Target URL에 취약 분석 할 사이트의 URL을 입력한다.
밑에 File with list of dirs/files에서 Browse 버튼을 눌러
/usr/share/dirbuster 경로에 wordlists폴더와 DirBuster-1.0-RC1.jar 파일이 존재한다.
방식으로 wordlists에 존재하는 사전(Dictionary) 대입 방식과 무차별 공격(Brute Forcing) 방식을 지원하게 된다.
wordlists에는 다양하게 존재하니 확인하는 것도 나쁘지 않을 듯(웹 서비스 사용 단어 리스트 포함)
쓰레드를 설정할 수 있는 데, 높은 값을 주면 성능 저하를 초래할 수 있다.
해당 디렉토리의 구조를 안다면 굳이 / 루트영역에서부터 시작할 필요는 없으며
File extension에는 php뿐만 아니라 jsp, html 등의 선택이 가능하다.
설정값을 주고 start하면 위의 그림처럼 실행이 되며 웹 취약점을 분석 할 수 있다.
'해킹 > 해킹' 카테고리의 다른 글
| maltego(footprinting tool) 소개 (0) | 2016.01.28 |
|---|---|
| MITM 공격을 위한 ettercap 소개 (0) | 2016.01.21 |
| 해킹의 첫걸음. 풋프린팅(footprinting) (0) | 2016.01.19 |
| 자바 swt를 활용한 안드로이드 해킹 (0) | 2015.08.27 |
| kali 를 이용한 안드로이드 해킹 (3) | 2015.08.27 |