[iT邦鐵人賽][駭客工具 Day11] 網站路徑遍歷 – DirBuster

今天要介紹的也算是一款滲透測試的知名工具,DirBuster。
DirBuster是用來探測web伺服器上的目錄和隱藏文件。
採用JAVA語言編寫的,所以要使用的話必須先安裝JAVA,
不過這個工具在Kali Linux是內建就有的。

如果要自行下載安裝的話,載點網址如下:
https://sourceforge.net/projects/dirbuster/

開啟後的畫面如下:
https://ithelp.ithome.com.tw/upload/images/20190912/20114110WbRWUrbVoZ.png

要使用這款工具之前,建議先了解甚麼是路徑遍歷,
或是目錄遍歷、目錄遍訪攻擊、Directory traversal/transversal、Path traversal attact….
它有不少名稱,不過大致上都是在講同個東西吧哈哈

因為不知道大家有沒有架過網站/網頁的經驗,
做個簡單的假設說明好了,因為我也不算熟啦其實,就說說我大概知道的東西。

假設我有個網站是www.badcat1215.com
然後裡面有個首頁,首頁裡面可以連到一個相簿album跟一個部落格blog
你可以這樣子想像,想像成我有一台電腦我開啟了網頁的服務,
我電腦裡面有個資料夾叫做www.badcat1215.com
這個資料夾底下又有兩個資料夾,一個叫做album一個叫做blog,
所以如果你在瀏覽我的網頁時,
才會有網址是www.badcat1215.com/album 跟 www.badcat1215.com/blog

那為什麼提到這個呢?
一個網頁其實網站管理員可以去設定一些東西,
譬如我這個網頁內容一般人有沒有權限去看,
或是是否可以利用搜尋引擎(像是google搜尋得到)。

假設我今天在www.badcat1215.com 這個資料夾下面其實放了一個資料夾叫password,
裡面有個檔案psd.txt塞滿了我的重要秘密,可是我有設定沒辦法用搜尋引擎搜到,
並且我的首頁,我的整個網站中都沒有連結可以點到那邊去,
可是如果今天有人通靈直接在網址,輸入 www.badcat1215.com/password/psd.txt
那它能不能看到我的秘密呢? 答案是可以的!
這就是路徑攻擊,詳細可以上網找找更多說明與介紹,算是很簡單的攻擊手法。

那路徑攻擊聽起來很簡單吧,那我不就一直猜一直猜就可以了,
的確也是沒錯,但是用手動輸入真的會輸入到死,
所以就有像是DirBuster這樣方便的好工具,
它可以根據提供的字典檔或是純粹暴力破解去進行網站的目錄遍歷,
讓你了解網站的目錄架構,也順便去查查看這些路徑網址是不是有存在,
也許意外之中就可以發現架網站的人本來不想公開的秘密資訊。

上面那一段我要再補充兩點,第一個是攻擊的方式,
可以看到就是DirBuster畫面中的scanning type,
目前主流應該都是利用字典檔去進行,
那Kali Linux中關於Dirbuster的字典可以到
/usr/share/wordlists/dirbuster/
以上這個地方翻找
個人推薦使用directory-list-lowercase-2.3-medium.txt

那甚麼是Pure Brute Forece純粹暴力破解呢?
就是全部可能性都猜猜看,這個數量可是會非常大的,
假設你今天要26英文字母加上10個數字,我只要限定五個位數就好
你就要猜36的5次方,自己乘乘看,真的是會很大。

你可能會想說大又怎樣,反正是工具自動化幫我測試,
那這邊就得提一下我要說的第二點了,
就是大就是可能是會有問題的,
因為如果你要猜的量非常多,就會耗費很久很久很久的時間,
你如果想說那我讓它猜快一點每次都發出請求發好發滿呢?
當然可以,但可能會導致另一種可能問題,
因為當你猜測的時候其實就是送出一個HTTP Request,
所以你猜得非常快非常大量,有時反而成為了一種DoS攻擊,
不僅要擔心被偵測到,也可能要擔心對方網站被打掛XD

接下來幾天的其他主題,
也會持續地提到關於字典檔、暴力破解、密碼猜測攻擊等等相關工具。
請大家敬請期待,謝謝。


本文為作者參與第 11 屆 iT 邦幫忙鐵人賽的文章
原文連結
https://ithelp.ithome.com.tw/users/20114110/ironman/2536

發佈留言

Close Menu