This page looks best with JavaScript enabled

Webアプリ上のディレクトリ/ファイル名を総当りで検索する「DirBuster」の紹介

 ·  ☕ 2 min read

dirbuster

DirBusterとは

DirBusterは、Web/アプリケーションサーバー上のディレクトリとファイル名を総当りで検索するアプリケーションです。Webアプリケーションにはリンクから辿れない数多くのページやアプリケーションが隠されています。DirBusterはこれらを総当りで見つけるためのツールです。

DirBusterの簡単な使い方を次に紹介します。

Step1 DirBusterの起動

Parrot Security OSではデフォルトでインストールされているため、そちらを起動します。

start

Step2 URLを指定

対象のWebアプリケーションのURLを指定してあげます。
今回は、Hacker101のPetshopProを対象にしていきます。

petshop

今回対象のWebアプリケーションはhttp://35.227.24.107/02dcccde7d/となるため、それを入力します。

url

Step3 リストの選択

Scanする際に単純なBruteForceも可能ですが、あらかじめ用意されたリストを使用してそのリストをぶん回していく方法があります。今回はそのリストを使用します。

DirBusterには /usr/share/dirbuster/wordlists/ の中にいくつかのリストがあるためそちらを使用します

directory-list

Step4 実行

準備ができたらStartを押して実行します。

running

設定の際にFile extensionやUse Blank ExtensionにチェックをいれることでScanする対象を選択することができます。

今回は時間の短縮のためScanの必要のないディレクトリは停止させたりしています。

Step5 結果

タブのResultに今までのスキャン結果が出ています。
今回のWebアプリケーションでは管理画面であるloginページは通常ではたどり着くことができませんでしたが、DirBusterを用いてスキャンすることで見事見つけることができました。

login

総括

DirBusterを用いれば秘匿されたWebアプリケーションのディレクトリやファイルの検索を行うことができます。
しかし、BruteForceでの検索となるため、目的のファイルやディレクトリを発見するのに時間がかかることがわかります。
またサービスに多量のリクエストが送られるため、許可された環境下でのみ使用してください。

Share on
yuk1h1ra
WRITTEN BY
yuk1h1ra
Security Engineer