Gobuster es una herramienta utilizada para realizar fuerza bruta a: URIs (directorios y archivos) en sitios web, subdominios DNS (con soporte de comodines), y nombres de hosts virtuales en los servidores web.

Gobuster tiene tres modos disponibles. “dir”, el modo clásico de fuerza bruta contra directorios, “dns”, el modo de fuerza bruta contra subdominios DNS, y “vhost”, el modo de fuerza bruta contra hosts virtuales (no es lo mismo a “DNS”).

La opción “help” muestra la ayuda de nivel superior de Gobuster

# gobuster help

La opción “help dir” muestra la ayuda específica del modo “dir”. Pudiendo ser utilizada también para obtener la ayuda de los otros modos, como “dns” y “vhost”

# gobuster help dir

Para la siguiente demostración se utiliza Gobuster contra la aplicación web de nombre XVWA.

La opción “-u” define la URL en evaluación. La opción -t define el numero de hilos concurrentes (en este caso 20). La opción “-w” define el archivo conteniendo una lista de palabras. (En este caso se utiliza una de las listas de una herramienta de nombre dirbuster). Y la opción “-x” define las extensiones de los archivos a buscar (en este escenario son archivos .php y .html)

# gobuster dir -u http:// 192.168. 0.66/xvwa/ -t 20 -w /usr/ share/wordlists/dirbuster/directory-list-1.0.txt -x .php .html

Para los resultados obtenidos, se sugiere tener especial atención en los códigos de estado devueltos por las peticiones realizadas. En esta demostración se han obtenido los códigos de estado 200, 301, 302. Adicionalmente se deben revisar los resultados manualmente utilizado un navegador web.

Fuentes:

https://github.com/OJ/gobuster
https://github.com/s4n7h0/xvwa