क्या आप वेब सर्वर पर छुपी निर्देशिकाओं और फ़ाइलों की गणना करने के लिए निःशुल्क उपयोग वाले टूल खोज रहे हैं? यहां डायरेक्टरी बर्स्टिंग के लिए सर्वोत्तम लिनक्स टूल दिए गए हैं।

चाबी छीनना

  • किसी वेब सर्वर या एप्लिकेशन पर छिपी निर्देशिकाओं और फ़ाइलों को खोजने के लिए एथिकल हैकिंग में डायरेक्टरी बर्स्टिंग एक आवश्यक तकनीक है।
  • लिनक्स डायरेक्टरी बर्स्टिंग के लिए कई टूल प्रदान करता है, जैसे DIRB, DirBuster, Gobuster, ffuf, और dirsearch।
  • ये उपकरण वेब सर्वर पर HTTP अनुरोध भेजने और वेबसाइट के नेविगेशन या साइटमैप पर विज्ञापित नहीं किए गए संसाधनों को खोजने के लिए निर्देशिका नामों का अनुमान लगाने की प्रक्रिया को स्वचालित करते हैं।

प्रत्येक वेब एप्लिकेशन पेंटटेस्ट के टोही चरण में, एप्लिकेशन पर संभावित निर्देशिकाओं को ढूंढना आवश्यक है। इन निर्देशिकाओं में महत्वपूर्ण जानकारी और निष्कर्ष हो सकते हैं जो आपको एप्लिकेशन में कमजोरियों को खोजने और इसकी सुरक्षा में सुधार करने में बहुत मदद करेंगे।

सौभाग्य से, इंटरनेट पर ऐसे उपकरण मौजूद हैं जो निर्देशिका को क्रूरतापूर्वक आसान, स्वचालित और तेज़ बनाते हैं। वेब एप्लिकेशन पर छिपी निर्देशिकाओं की गणना करने के लिए लिनक्स पर पांच निर्देशिका-विस्फोट उपकरण यहां दिए गए हैं।

डायरेक्ट्री बर्स्टिंग क्या है?

निर्देशिका फट रही है, जिसे "डायरेक्टरी ब्रूट फोर्सिंग" के रूप में भी जाना जाता है, एक वेब सर्वर या एप्लिकेशन पर छिपी निर्देशिकाओं और फ़ाइलों को खोजने के लिए एथिकल हैकिंग में उपयोग की जाने वाली तकनीक है। इसमें विभिन्न निर्देशिकाओं के नामों का अनुमान लगाकर या सामान्य निर्देशिकाओं और फ़ाइल नामों की सूची के माध्यम से गणना करके व्यवस्थित रूप से उन तक पहुंचने का प्रयास करना शामिल है।

डायरेक्ट्री बर्स्टिंग की प्रक्रिया में आम तौर पर स्वचालित टूल या स्क्रिप्ट का उपयोग करना शामिल होता है जो वेब सर्वर पर HTTP अनुरोध भेजते हैं उन संसाधनों को खोजने के लिए विभिन्न निर्देशिकाओं और फ़ाइल नामों का उपयोग करें जो वेबसाइट के नेविगेशन पर स्पष्ट रूप से लिंक या विज्ञापित नहीं हैं साइटमैप.

डायरेक्ट्री बर्स्टिंग करने के लिए इंटरनेट पर सैकड़ों निःशुल्क उपकरण उपलब्ध हैं। यहां कुछ निःशुल्क उपकरण दिए गए हैं जिनका उपयोग आप अपने अगले प्रवेश परीक्षण में कर सकते हैं:

1. डीआईआरबी

डीआईआरबी एक लोकप्रिय लिनक्स कमांड-लाइन टूल है जिसका उपयोग वेब अनुप्रयोगों पर निर्देशिकाओं को स्कैन और ब्रूटफोर्स करने के लिए किया जाता है। यह किसी वेबसाइट URL के विरुद्ध वर्डलिस्ट से संभावित निर्देशिकाओं की गणना करता है।

DIRB Kali Linux पर पहले से ही स्थापित है। हालाँकि, यदि आपने इसे इंस्टॉल नहीं किया है, तो चिंता की कोई बात नहीं है। इसे इंस्टॉल करने के लिए आपको बस एक सरल कमांड की आवश्यकता है।

डेबियन-आधारित वितरण के लिए, चलाएँ:

sudo apt install dirb

फेडोरा और सेंटओएस जैसे गैर-डेबियन लिनक्स वितरण के लिए, निष्पादित करें:

sudo dnf install dirb

आर्क लिनक्स पर, चलाएँ:

yay -S dirb

ब्रूटफोर्स निर्देशिकाओं के लिए डीआईआरबी का उपयोग कैसे करें

वेब एप्लिकेशन पर डायरेक्टरी ब्रूट फ़ोर्सिंग करने का सिंटैक्स है:

dirb [url] [path to wordlist]

उदाहरण के लिए, यदि आप क्रूर बल प्रयोग कर रहे थे https://example.com, यह आदेश होगा:

dirb https://example.com wordlist.txt

आप वर्डलिस्ट निर्दिष्ट किए बिना भी कमांड चला सकते हैं। DIRB अपनी डिफ़ॉल्ट वर्डलिस्ट फ़ाइल का उपयोग करेगा, सामान्य.txt, वेबसाइट को स्कैन करने के लिए।

dirb https://example.com

2. डिरबस्टर

डिरबस्टर काफी हद तक डीआईआरबी के समान है। मुख्य अंतर यह है कि डिर्बस्टर में डीआईआरबी के विपरीत एक ग्राफिकल यूजर इंटरफेस (जीयूआई) है जो एक कमांड-लाइन टूल है। डीआईआरबी आपको निर्देशिका ब्रूटफोर्स स्कैन को अपनी पसंद के अनुसार कॉन्फ़िगर करने और स्थिति कोड और अन्य दिलचस्प मापदंडों के आधार पर परिणामों को फ़िल्टर करने की अनुमति देता है।

आप थ्रेड की संख्या भी निर्धारित कर सकते हैं जो उस गति को निर्धारित करती है जिस पर आप स्कैन चलाना चाहते हैं, और विशिष्ट फ़ाइल एक्सटेंशन जो आप चाहते हैं कि एप्लिकेशन आपके लिए खोजे।

आपको बस वह लक्ष्य URL दर्ज करना है जिसे आप स्कैन करना चाहते हैं, वह शब्द सूची जिसे आप उपयोग करना चाहते हैं, फ़ाइल एक्सटेंशन और थ्रेड की संख्या (वैकल्पिक) दर्ज करें, फिर क्लिक करें शुरू.

जैसे-जैसे स्कैन आगे बढ़ेगा, डिरबस्टर इंटरफ़ेस में खोजी गई निर्देशिकाओं और फ़ाइलों को प्रदर्शित करेगा। आप प्रत्येक अनुरोध की स्थिति (उदाहरण के लिए, 200 ठीक, 404 नहीं मिला) और खोजे गए आइटम का पथ देख सकते हैं। आप आगे के विश्लेषण के लिए स्कैन परिणामों को एक फ़ाइल में भी सहेज सकते हैं। इससे आपके निष्कर्षों का दस्तावेजीकरण करने में मदद मिलेगी।

DirBuster Kali Linux पर इंस्टॉल आता है, लेकिन आप इसे आसानी से इंस्टॉल कर सकते हैं उबंटू पर डिरबस्टर स्थापित करें.

3. गोबस्टर

गोबस्टर गो में लिखा गया एक कमांड-लाइन टूल है जिसका उपयोग वेबसाइटों में निर्देशिकाओं और फ़ाइलों को बलपूर्वक लागू करने, अमेज़ॅन एस 3 बकेट, डीएनएस उपडोमेन खोलने, लक्ष्य वेब सर्वर पर वर्चुअल होस्ट नाम, टीएफटीपी सर्वर आदि के लिए किया जाता है।

काली जैसे लिनक्स के डेबियन वितरण पर गोबस्टर स्थापित करने के लिए, चलाएँ:

sudo apt install gobuster

लिनक्स वितरण के आरएचईएल परिवार के लिए, चलाएँ;

sudo dnf install gobuster

आर्क लिनक्स पर, चलाएँ:

yay -S gobuster

वैकल्पिक रूप से, यदि आपने गो स्थापित किया है, तो चलाएँ:

go install github.com/OJ/gobuster/v3@latest

गोबस्टर का उपयोग कैसे करें

वेब अनुप्रयोगों में गोबस्टर को ब्रूटफोर्स निर्देशिकाओं में उपयोग करने का सिंटैक्स है:

gobuster dir -u [url] -w [path to wordlist]

उदाहरण के लिए, यदि आप निर्देशिकाओं को बलपूर्वक लागू करना चाहते हैं https://example.com, आदेश इस तरह दिखेगा:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. उफ्फ

ffuf गो में लिखा गया एक बहुत तेज़ वेब फ़ज़र और डायरेक्टरी ब्रूट-फोर्सिंग टूल है। यह बहुत बहुमुखी है और विशेष रूप से अपनी गति और उपयोग में आसानी के लिए जाना जाता है।

चूँकि ffuf को Go में लिखा गया है, इसलिए आपको अपने Linux PC पर Go 1.16 या इससे अधिक संस्करण स्थापित करना होगा। इस आदेश के साथ अपना गो संस्करण जांचें:

go version

Ffuf स्थापित करने के लिए, यह कमांड चलाएँ:

go install github.com/ffuf/ffuf/v2@latest

या आप जीथब रिपॉजिटरी को क्लोन कर सकते हैं और इस कमांड का उपयोग करके इसे संकलित कर सकते हैं:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Bruteforce निर्देशिकाओं में ffuf का उपयोग कैसे करें

ffuf के साथ डायरेक्टरी ब्रूट फ़ोर्सिंग के लिए मूल सिंटैक्स है:

ffuf -u [URL/FUZZ] -w [path to wordlist]

उदाहरण के लिए, स्कैन करने के लिए https://example.com, आदेश होगा:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. खोज

dirsearch एक अन्य क्रूर-फोर्सिंग कमांड-लाइन टूल है जिसका उपयोग वेब एप्लिकेशन पर निर्देशिकाओं की गणना करने के लिए किया जाता है। टर्मिनल-आधारित एप्लिकेशन होने के बावजूद इसके रंगीन आउटपुट के कारण इसे विशेष रूप से पसंद किया जाता है।

आप चलाकर पाइप के माध्यम से dirsearch स्थापित कर सकते हैं:

pip install dirsearch

या, आप GitHub रिपॉजिटरी को चलाकर क्लोन कर सकते हैं:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Bruteforce निर्देशिकाओं के लिए dirsearch का उपयोग कैसे करें

dirsearch को bruteforce निर्देशिकाओं में उपयोग करने का मूल सिंटैक्स है:

dirsearch -u [URL]

निर्देशिकाओं को बलपूर्वक चालू करने के लिए https://example.com, आपको बस इतना करना है:

dirsearch -u https://example.com

इसमें कोई संदेह नहीं है कि ये उपकरण आपका बहुत सारा समय बचाएंगे जो आप मैन्युअल रूप से इन निर्देशिकाओं का अनुमान लगाने में खर्च करते थे। साइबर सुरक्षा में, समय एक बड़ी संपत्ति है, यही कारण है कि प्रत्येक पेशेवर अपनी दैनिक प्रक्रियाओं को अनुकूलित करने के लिए ओपन-सोर्स टूल का लाभ उठाता है।

आपके काम को अधिक कुशल बनाने के लिए विशेष रूप से लिनक्स पर हजारों निःशुल्क टूल मौजूद हैं, आपको बस यह जानना और चुनना है कि आपके लिए क्या काम करता है!