Merhabalar dostlar bu konuda sizlere Dirbuster hakkında bilgi vereceğim. Diğer konularım kadar uzun bir konu değil kısa sürecek merak etmeyin elden geldiğince de sıkmamaya çalışacağım zaten. Şimdi daha fazla lafı ağzımızda gevelemeden konuya geçiş yapalım.
1)Dirbuster Nedir?
Dirbuster java ile yazılmış olan açık kaynak kodlu aktif bilgi toplama aracıdır.
2)Dirbuster Ne İşe Yarar?
Dirbuster web sunuculardaki gizlenmiş olan dizinleri ve dosyaları bulmamızı sağlar. Misal gizlenen bir admin panel (Admin panel bulmayı görenlerin gözler parlıyor şuan) sayfasını dirbuster ile bulma olasılığınız var. Aslında ben dirbusterı daha çok Capture The Flaglerde kullanıyorum. Bazen upload ile veya admin bypass ile yapmanız gereken işler oluyor bunların hangi dizinlere yapılacağını bu şekilde tespit edebiliyorum. Misal olarak bir shell upload ettiniz yada edeceksiniz fakat upload dizinini bulamadınız. Dirbuster ile bulma ihtimaliniz daha yüksek.
3)Dirbuster Nasıl Çalışır?
Dirbusterın güç kaynağı kaba kuvvet(bruteforce)dir. Bir nevi dictionary attack gerçekleştirir. Kullanım kısmında anlatacağım üzere dirbuster wordlistler içerir. Bu belirli kelime listelerinden olusur kelimeleri ve HTTP GET methodunu kullanarak request yollar ve dönen responsea bakar. Tabi burada da HTTP Durum Kodları devreye giriyor. Eğer OK dönüşü alırsa denediği dizin yada dosya bu sunucuda bulunmakta olduğunu fakat Bad Request alıyorsa ya bu dizin yok yada yetkimizin bu dizin veyahut dosyaya giriş için yeterli olmadığını anlar ve bize ona göre sonuç basar. Kısaca Dirbusterîn çalışma mantığında bu şekilde işliyor. HTTP Durum Kodları demişken onları da önceden gördüğüm espriyle harmanlanmış bir şeklini size alıntılıyayım:
200: Kız tamam dedi.
300: Kızın arkadaşı boşmuş.
400: Öyle bir kız yok ya da sana bakmaz.
500: Kız erkek çıktı!
Daha ayrıntılısı için bkz:
4)Dirbusterı Nasıl Yükleriz?
Ubuntu/Debianda Kurulum:
1)Aşağıdaki adresten Dirbuster(Jar+Lists) kısmına girip 1.0-RC1 klasöründen .tar.bz2 yada .zip dosyasını indirerek dizine çıkarıyoruz.
2)Bulunduğumuz dizinde terminali açıp yada terminalden çıkardığımız dizine gelerek aşağıdaki kodu çalıştırıyoruz:
İşlemimiz burada tamamlanıyor. Kullanacağımız listeler zaten zipin yada tarın içinde geliyor.
Not: Kali Linux kullananların bu işlemleri yapmasına gerek yoktur çünkü dağıtımın içinde dirbuster yüklü olarak geliyor. Applications --> Web Applications Analysis --> Web Crawlers altında görebilirsiniz. Listeler de /usr/share/dirbuster/wordlists/ dizininde bulunmaktadır.
Windowsda Kurulum:
Windows'da kurulumu 2 şekilde yapabilirsiniz:
Birinci yol: Yukarıda verdiğim linkten zip dosyasını indirerek çıkarabilirsiniz. Daha sonrasında içinde buluna executable jar dosyasına çift tıklayarak çalıştırabilirsiniz. Bu yolda extradan kelime listelerini indirmenize gerek yoktur.
İkinci Yol: Yine aynı linkten .exe dosyasını indirerek normal program kurulumu gibi kurulum yapabilir daha sonrasında ek olarak kelime listelerini yine aynı linkten indirebilirsiniz.
5)Dirbuster Nasıl Kullanılır?
Debian/Ubuntu sistemlerde terminale dirbuster yazarak yada direkt programın simgesine çift tıklayarak çalıştırabilirsiniz.
Windows sistemlerde de yine programın simgesine çift tıklayarak çalıştırabilirsiniz.
Şimdi programımızı açtık gelelim bu ekran bize ne ifade ediyor ona.
Target URL: Anlaşılacağı üzere hedef sitemizi belirtiyoruz.
Work Method: Kullanacağı HTTP methodunun hangisi olmasını seçiyorsunuz.
Number Of Threads: Programın bir nevi hızını ayarladığınız kısmı diyebiliriz.
Select Scanning Type: Tarama şeklini belirtiyoruz. Şimdi bu iki seçeneği açıklıyayım.
-List Based Brute Force: Liste tabanlı olarak kaba kuvvet saldırıları yapar. İşlem daha kısa sürer lakin daha dar kapsamlıdır.
-Pure Brute Force: Allah ne verdiyse bam güm bam güm daldığı mod. İşlemler çok uzun sürer lakin sonuçları daha geniş kapsamlıdır. List Base'de erişemediğiniz şeylere Pureda erişebilirsiniz lakin zamanınızı alır.
File with list of dirs/files: Listemizi seçiyoruz. Program geliştiricilerinin tavsiye ettiği liste directory-list-2.3-medium.txtdir.
Listeler:
directory-list-2.3-small.txt :
directory-list-2.3-medium.txt :
directory-list-2.3-big.txt :
directory-list-lowercase-2.3-small.txt: Yukarıdaki listelerden farklı olarak bu listelerde büyük küçük harf hassasiyeti yoktur.
directory-list-lowercase-2.3-medium.txt :
directory-list-lowercase-2.3-big.txt :
directory-list-1.0.txt : İlk kullanılan orjinal liste
apache-user-enum-1.0.txt : Yukarıdakiler kelime listeleriyken bu listeler Apache kullancı adlarını içerirler. Root olan userı bulmak için kullanılır. Sırasız olarak gider.
apache-user-enum-2.0.txt : Sıralı olarak gider.
Select Starting Options: Başlangıç ayarlarını yaptığımız kısım.
-Brute Force Dirs: Dizinlere kaba kuvvet saldırısı uygula.
-Brute Force Files: Dosyalara kaba kuvvet saldırısı uygula.
-Recursive: Yineleme, döngüyle şansını birkaç kez deneme.
-Dir to start with: Şu dizinle aramaya başla diye eklemek istediğiniz dizini belirtirsiniz.
-Use Blank Extension: Boş uzantıları kullan.
-File Extension: Dosya tipini (arıyacağınız) belirttiğiniz kısım.
-URL Fuzz: Yanlış bilmiyorsam urlye paket yüklemesi yaparak kullanılamaz hale getirmeye çalışmak.
Şimdi istediğiniz ayarı yaparak starta basarak taramalarınızı başlatabilirsiniz. İster klasör olarak(Tree View) ister direkt liste olarak çıkan sonuçları görebilirsiniz.
Evet efenim bir konumuzun daha sonuna gelmiş bulunmaktayız umarım faydalı ve anlaşılır olmuştur hatamız varsa lütfen belirtiniz, sürç-ü lisan ettiysek affola hayırlı geceler dilerim.
1)Dirbuster Nedir?
Dirbuster java ile yazılmış olan açık kaynak kodlu aktif bilgi toplama aracıdır.
2)Dirbuster Ne İşe Yarar?
Dirbuster web sunuculardaki gizlenmiş olan dizinleri ve dosyaları bulmamızı sağlar. Misal gizlenen bir admin panel (Admin panel bulmayı görenlerin gözler parlıyor şuan) sayfasını dirbuster ile bulma olasılığınız var. Aslında ben dirbusterı daha çok Capture The Flaglerde kullanıyorum. Bazen upload ile veya admin bypass ile yapmanız gereken işler oluyor bunların hangi dizinlere yapılacağını bu şekilde tespit edebiliyorum. Misal olarak bir shell upload ettiniz yada edeceksiniz fakat upload dizinini bulamadınız. Dirbuster ile bulma ihtimaliniz daha yüksek.
3)Dirbuster Nasıl Çalışır?
Dirbusterın güç kaynağı kaba kuvvet(bruteforce)dir. Bir nevi dictionary attack gerçekleştirir. Kullanım kısmında anlatacağım üzere dirbuster wordlistler içerir. Bu belirli kelime listelerinden olusur kelimeleri ve HTTP GET methodunu kullanarak request yollar ve dönen responsea bakar. Tabi burada da HTTP Durum Kodları devreye giriyor. Eğer OK dönüşü alırsa denediği dizin yada dosya bu sunucuda bulunmakta olduğunu fakat Bad Request alıyorsa ya bu dizin yok yada yetkimizin bu dizin veyahut dosyaya giriş için yeterli olmadığını anlar ve bize ona göre sonuç basar. Kısaca Dirbusterîn çalışma mantığında bu şekilde işliyor. HTTP Durum Kodları demişken onları da önceden gördüğüm espriyle harmanlanmış bir şeklini size alıntılıyayım:
200: Kız tamam dedi.
300: Kızın arkadaşı boşmuş.
400: Öyle bir kız yok ya da sana bakmaz.
500: Kız erkek çıktı!
Daha ayrıntılısı için bkz:
Kod:
https://eksisozluk.com/iliskileri-http-hata-kodlariyla-aciklamak--14744374)Dirbusterı Nasıl Yükleriz?
Ubuntu/Debianda Kurulum:
1)Aşağıdaki adresten Dirbuster(Jar+Lists) kısmına girip 1.0-RC1 klasöründen .tar.bz2 yada .zip dosyasını indirerek dizine çıkarıyoruz.
Kod:
https://sourceforge.net/projects/dirbuster/files/2)Bulunduğumuz dizinde terminali açıp yada terminalden çıkardığımız dizine gelerek aşağıdaki kodu çalıştırıyoruz:
Kod:
sudo java -jar DirBuster-0.10.jarİşlemimiz burada tamamlanıyor. Kullanacağımız listeler zaten zipin yada tarın içinde geliyor.
Not: Kali Linux kullananların bu işlemleri yapmasına gerek yoktur çünkü dağıtımın içinde dirbuster yüklü olarak geliyor. Applications --> Web Applications Analysis --> Web Crawlers altında görebilirsiniz. Listeler de /usr/share/dirbuster/wordlists/ dizininde bulunmaktadır.
Windowsda Kurulum:
Windows'da kurulumu 2 şekilde yapabilirsiniz:
Birinci yol: Yukarıda verdiğim linkten zip dosyasını indirerek çıkarabilirsiniz. Daha sonrasında içinde buluna executable jar dosyasına çift tıklayarak çalıştırabilirsiniz. Bu yolda extradan kelime listelerini indirmenize gerek yoktur.
İkinci Yol: Yine aynı linkten .exe dosyasını indirerek normal program kurulumu gibi kurulum yapabilir daha sonrasında ek olarak kelime listelerini yine aynı linkten indirebilirsiniz.
5)Dirbuster Nasıl Kullanılır?
Debian/Ubuntu sistemlerde terminale dirbuster yazarak yada direkt programın simgesine çift tıklayarak çalıştırabilirsiniz.
Windows sistemlerde de yine programın simgesine çift tıklayarak çalıştırabilirsiniz.
Şimdi programımızı açtık gelelim bu ekran bize ne ifade ediyor ona.
Target URL: Anlaşılacağı üzere hedef sitemizi belirtiyoruz.
Work Method: Kullanacağı HTTP methodunun hangisi olmasını seçiyorsunuz.
Number Of Threads: Programın bir nevi hızını ayarladığınız kısmı diyebiliriz.
Select Scanning Type: Tarama şeklini belirtiyoruz. Şimdi bu iki seçeneği açıklıyayım.
-List Based Brute Force: Liste tabanlı olarak kaba kuvvet saldırıları yapar. İşlem daha kısa sürer lakin daha dar kapsamlıdır.
-Pure Brute Force: Allah ne verdiyse bam güm bam güm daldığı mod. İşlemler çok uzun sürer lakin sonuçları daha geniş kapsamlıdır. List Base'de erişemediğiniz şeylere Pureda erişebilirsiniz lakin zamanınızı alır.
File with list of dirs/files: Listemizi seçiyoruz. Program geliştiricilerinin tavsiye ettiği liste directory-list-2.3-medium.txtdir.
Listeler:
directory-list-2.3-small.txt :
directory-list-2.3-medium.txt :
directory-list-2.3-big.txt :
directory-list-lowercase-2.3-small.txt: Yukarıdaki listelerden farklı olarak bu listelerde büyük küçük harf hassasiyeti yoktur.
directory-list-lowercase-2.3-medium.txt :
directory-list-lowercase-2.3-big.txt :
directory-list-1.0.txt : İlk kullanılan orjinal liste
apache-user-enum-1.0.txt : Yukarıdakiler kelime listeleriyken bu listeler Apache kullancı adlarını içerirler. Root olan userı bulmak için kullanılır. Sırasız olarak gider.
apache-user-enum-2.0.txt : Sıralı olarak gider.
Select Starting Options: Başlangıç ayarlarını yaptığımız kısım.
-Brute Force Dirs: Dizinlere kaba kuvvet saldırısı uygula.
-Brute Force Files: Dosyalara kaba kuvvet saldırısı uygula.
-Recursive: Yineleme, döngüyle şansını birkaç kez deneme.
-Dir to start with: Şu dizinle aramaya başla diye eklemek istediğiniz dizini belirtirsiniz.
-Use Blank Extension: Boş uzantıları kullan.
-File Extension: Dosya tipini (arıyacağınız) belirttiğiniz kısım.
-URL Fuzz: Yanlış bilmiyorsam urlye paket yüklemesi yaparak kullanılamaz hale getirmeye çalışmak.
Şimdi istediğiniz ayarı yaparak starta basarak taramalarınızı başlatabilirsiniz. İster klasör olarak(Tree View) ister direkt liste olarak çıkan sonuçları görebilirsiniz.
Evet efenim bir konumuzun daha sonuna gelmiş bulunmaktayız umarım faydalı ve anlaşılır olmuştur hatamız varsa lütfen belirtiniz, sürç-ü lisan ettiysek affola hayırlı geceler dilerim.
Moderatör tarafında düzenlendi:
