BÀI BÁO CÁO ĐỀ TÀI:TÌM HIỂU VỀ CƠNG CỤ DIRBUSTER Tên mơn học: An Tồn Mạng Họ tên sinh viên: Bùi Đình Lâm Mã sinh viên: B18DCAT132 Nhóm: 02 Hà Nội, tháng 12 năm 2021 Mục Lục DANH MỤC HÌNH VẼ LỜI MỞ ĐẦU Khát quát DirBuster Hướng dẫn cài đặt Hướng dẫn sử dụng 10 Giải thích khái niệm 12 Target URL: 12 Word Method: 13 Number of Threads and Go Faster: 13 Select Scanning Type: 14 List based brute force: 14 Pure Brute Force: 14 Standard Start Point: 15 Brute force dirs: 15 Be Recursive: 15 Dir to start with: 15 Brute Force Files: 15 Use Blank Extension: 15 File Extension: 16 URL Fuzz: 16 Options (Tab): 17 Advanced Options: 17 Thực quét thử Các ước tính chi tiết quét(Màu đỏ) 22 22 Số luồng chạy tại: n (Màu cam) 22 Bảng điều khiển(Xanh nước biển) 22 Thông tin quét(Màu xanh cây) 23 Kết - Xem dạng danh sách: Dir: X, Files: Y 23 Kết - Xem dạng 24 Báo cáo 25 Demo 28 Tìm kiếm danh mục ẩn web: 28 Tìm kiếm thư mục ẩn web: 32 So sánh 37 KẾT LUẬN 38 TÀI LIỆU THAM KHẢO 39 DANH MỤC HÌNH VẼ Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Hình Giao diện terminal Cài đặt dirbuster Xoá dirbuster Khởi động Dirbuster Giao diện Dirbuter Target URL Word method Number of Thread Scanning type 10 Pure Bruteforce 11 Standard Start Point 12 File Extension 13 URL Fuzz 14 Options 15 Advanced Options 16 Authentication Options 17 HTTP Options 18 Scan Options 19 Giao diện quét 20 Bảng Result 21 Report 22 Trang web target 23 Setup demo 24 Trang web target 25 Setup 26 Thư mục txt 27 Login thành công 10 11 12 13 13 14 14 15 16 16 16 18 19 20 21 22 23 25 28 29 32 33 34 35 LỜI MỞ ĐẦU Web server giống ổ cứng lưu trữ liệu máy tính Dữ liệu lưu trữ bao gồm files, directories, v.v Những liệu lưu trữ web server liệu cơng khai (public) ví dụ trang chủ website, đường link dẫn đến chuyên mục khác (catergories) viết khác website đó, v.v ; liệu riêng tư (private) ví dụ trang đăng nhập, file robots, files hay directories chia sẻ thông tin nội bộ, v.v Thông thường việc liệt kê thư mục/file công việc tiến hành thu thập thơng tin.Nó cho phép tìm thư mục/file nhạy cảm đường dẫn file cấu hình,đường dẫn trang quản trị Một cơng cụ tìm hidden link sử dụng rộng rãi DirBuster viết Java.Với nhiều ưu điểm phiên khác phát hành.Với tiểu luận với đề tài “ Tìm hiểu công cụ DirBuster Cách cài đặt, cách sử dụng DirBuster” tìm hiểu cơng cụ ứng dụng vào việc pentest Khát quát DirBuster Giới thiệu sơ lược DirBuster Công cụ viết James Fisher, chuyên gia tư vấn bảo mật cấp cao Công ty hữu hạn bảo mật máy tín Portcullis lead dự án DirBuster.Đây công cụ tiện dụng giai đoạn trinh sát bạn bắt đầu làm DirBuster ứng dụng Java đa luồng thiết kế để brute force thư mục hay tệp máy chủ web hay ứng dụng.Thông thường trường hợp trông giống máy chủ web trạng thái cài đặt mặc định thực tế lại khơng phải vậy, chúng có trang ứng dụng giấu bên trong.DirBuster cơng cụ để tìm thứ Loại công cụ hoạt động tốt có từ điển danh sách tệp tin kèm Một cách tiếp cận khác thực để tạo loại từ điển hay danh sách trên.Danh sách tạo từ việc thu thập thông tin internet thu thập mục, tên tệp mà thực nhà phát triển sử dụng.DirBuster có tổng cộng danh sách khác nhau, điều làm cho DirBuster hiệu việc tìm tệp thư mục ẩn Và điều khơng đủ, DirBuster có tuỳ chọn khác để thực brute force, khiến cho thư mục tệp ẩn khơng có nơi để ẩn Lịch sử hình thành Cơng cụ viết phát triển James Fisher sau chuyển thành dự án OWASP.Cho đến dự án khơng cịn hoạt động khơng cịn trì kết hợp vào dự án OWASP ZAP.Nhưng khơng phải mà khơng cịn hoạt động mà thực công việc tốt Hướng dẫn cài đặt Đầu tiên mở máy kali lên, vào command gõ dirbuster để kiểm tra xem công cụ cài đặt hay chưa Hình Giao diện terminal Vậy công cụ DirBuster chưa cài đặt máy kali, thực câu lệnh gợi ý để tiến hành cài đặt: sudo apt install dirbuster Chúng ta cần nhập mật để xác thực Hình Cài đặt dirbuster Sau hoàn thành cài đặt, máy khơng báo lỗi hiển thị hình.Lúc công cụ sẵn sàng để sử dụng Nếu q trình cài đặt xảy lỗi khơng thể cài đặt, thử xoá thứ liên quan đến DirBuster trước với câu lệnh “sudo apt purge dirbuster”: Hình Xố dirbuster Nhập mật để xác nhận nhập vào “y” để xác nhận xoá khỏi ổ đĩa Sau xoá xong tiền hành cài đặt DirBuster nói Hướng dẫn sử dụng Có cách để khởi động DirBuster máy kali: 1.Khởi động với icon DirBuster: Bạn vào tìm kiếm gõ DirBuster menu Kali, sau click khởi động Hình Khởi động Dirbuster 2.Khởi động với Terminal: Bạn khởi động DirBuster với câu lệnh “dirbuster” Việc chọn đối tượng nhấp chuột phải cho phép mở trang trình duyệt, xem phản hồi chép URL đối tượng (xem bên dưới): Báo cáo Sau quét hoàn tất, click vào nút Report bên phải truy cập vào hình sau: Hình 21 Report Việc tạo báo cáo lựa chọn.Vị trí lưu tên báo cáo chọn Có số tuỳ chọn để tạo đây: Báo cáo đầy đủ(.txt) Danh sách đơn giản(simple.txt) Có thể hiển thị files dirs có dirs có files Demo Tìm kiếm danh mục ẩn web: Kịch bản: Ta thử tìm kiếm đường danh mục web có URL http://192.168.0.105/ Hình 22 Trang web target Chúng ta phải điền targer cho DirBuster, chọn cách làm việc chỉnh số lượng request.Tiếp chọn từ điển dùng để bruteforce, chọn cách làm việc click bắt đầu Hình 23 Setup demo Sau quét nhìn DirBuster chạy hết thời gian chờ, click Stop Report để nhận lại báo cáo Cuối nhận file báo cáo danh mục tìm web số dạng: Tìm kiếm thư mục ẩn web: Kịch bản: Ta thử quét tìm file ẩn web có URL http://0.0.0.0:8000/ Trang có giao diện đăng nhập đơn giản, thử tìm xem có đằng sau Hình 24 Trang web target Chúng ta tiếp tục điền thông tin vào DirBuster, lần chọn brutefoce danh mục thư mục Hình 25 Setup Sau hồn thành việc quét, ta lấy số đường dẫn đến thư mục sau: Thử truy cập vào đường dẫn ta quét với response 200, ta thu file important.txt giống username password dùng để đăng nhập: Hình 26 Thư mục txt Thử sử dụng account admin/admin để login vào trang ban đầu: Hình 27 Login thành công Vậy báo login thành cơng.Đây ví dụ điển hình sai sót người lập trình viên để lộ file quan trọng So sánh So sánh với GoBuster: Cũng giống Dirbuster, Gobuster cơng cụ tìm files directories ẩn thơng qua hình thức cơng Brute Force Dirbuster cơng cụ miễn phí,cơng cụ có giao diện người dùng giải vấn đề mà Gobuster khơng thể làm, recursive.Nghĩa là, với Gobuster, tìm directory, in tên directory tiếp tục tìm directories khác dựa vào wordlists cung cấp, khơng vào bên directory tìm in nội dung nằm bên Dirbuster làm điều đó, bù lại Dirbuster không nhanh Gobuster dễ bị lỗi Gobuster KẾT LUẬN Bài báo cáo trình bày khái niệm tổng quan công cụ DirBuster với hướng dẫn cài đặt hướng dẫn sử dụng lợi ích mạnh Qua demo ta thấy DirBuster công cụ phù hợp cho người bắt đầu trình học tập kiểm thử web, giúp họ nhanh chóng thu thập thư mục trang web sáng tạo kiểu công khác vào trang web.Hơn nữa, họ giúp phần làm cho công cụ thêm phát triển đưa góp ý sau sử dụng, làm cho DirBuster đạt bước tiến tương lai TÀI LIỆU THAM KHẢO Bisson, M (2019) Retrieved from https://blog.eldernode.com/introducing-and-install-dirbuster-on-kali/ Ferguson, D (2009, FEBRUARY 19) DirBuster Shoots and Scores! Retrieved from appsecnotes: https://appsecnotes.blogspot.com/2009/02/dirbuster-shoots-and-scores.html kali (n.d.) kali Retrieved from https://www.kali.org/tools/dirbuster/ Nguyen, V (2020) tuhocnetworksec Retrieved from https://tuhocnetworksecurity.business.blog/2020/12/22/kali-linux-can-ban-ba i-2-web-hidden-files-directories-va-cac-cong-cu-gobuster-dirbuster-va-nikto/ Saulenas, G (2020, August) saulenas Retrieved from https://saulenas.com/How-to-install-DirBuster-on-Linux/ ... giới hạn Advanced Options-Scan Options) Select Scanning Type: Hình Scanning type List based brute force: Lựa chọn sử dụng tệp định để sử dụng đầu vào thay sử dụng quét vét cạn.Nếu danh sách sử... yêu cầu thông qua proxy +Scan options: Hình 18 Scan Options +Connection Time out: Thời gian(tính giây) để kết nối hết thời gian chờ +Limit number of requests per second and Number of requests per... có trang ứng dụng giấu bên trong.DirBuster cơng cụ để tìm thứ Loại công cụ hoạt động tốt có từ điển danh sách tệp tin kèm Một cách tiếp cận khác thực để tạo loại từ điển hay danh sách trên.Danh