GoBuster !
Force pure… ou brut pour les vhost, sous-domaine et répertoires dans la query string ;) gobuster !
GoBuster est un outil de brute-force écrit en Go, utilisé pour découvrir des répertoires, fichiers, sous-domaines ou vhosts cachés sur une cible web. Sa rapidité, grâce à la concurrence native de Go, en fait un choix courant en reconnaissance web. Récapitulatif des options essentielles :
| Option | Description | Exemple d'utilisation | Remarques |
|---|---|---|---|
-u | Spécifie l'URL cible à analyser. | gobuster dir -u http://example.com | Obligatoire pour tous les modes (dir, dns, vhost). |
-w | Chemin vers le fichier de wordlist (liste de mots) à utiliser pour le brute-forcing. | gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt | Les wordlists courantes incluent dirbuster, SecLists, ou rockyou.txt. |
dir | Mode "directory brute-forcing" : recherche de répertoires et fichiers sur un serveur web. | gobuster dir -u http://example.com -w wordlist.txt | Le mode le plus utilisé, mais il reste un argument obligatoire : gobuster n'a pas de mode implicite, il faut toujours en préciser un (dir, dns, vhost...). |
dns | Mode "DNS brute-forcing" : recherche de sous-domaines pour un domaine donné. | gobuster dns -d example.com -w subdomains.txt | Nécessite un serveur DNS configuré ou l'utilisation de DNS publics comme Google (8.8.8.8). |
vhost | Mode "virtual host brute-forcing" : recherche de noms d'hôtes virtuels sur une adresse IP. | gobuster vhost -u http://192.168.1.1 -w vhosts.txt | Utile pour découvrir des sites hébergés sur la même IP. |
-t | Nombre de threads à utiliser pour le brute-forcing (par défaut : 10). | gobuster dir -u http://example.com -w wordlist.txt -t 50 | Augmenter ce nombre accélère le scan, mais peut surcharger le serveur ou être bloqué. |
-x | Spécifie les extensions de fichiers à tester (ex: .php, .html). | gobuster dir -u http://example.com -w wordlist.txt -x php,html,txt | Utile pour découvrir des fichiers avec des extensions spécifiques. |
-s | Codes de statut HTTP à inclure (par défaut : 200, 204, 301, 302, 307, 401, 403). | gobuster dir -u http://example.com -w wordlist.txt -s 200,301,403 | Permet de filtrer les résultats selon les codes HTTP. |
-b | Codes de statut HTTP à exclure. | gobuster dir -u http://example.com -w wordlist.txt -b 404 | Utile pour ignorer les pages inexistantes. |
-o | Sauvegarde les résultats dans un fichier. | gobuster dir -u http://example.com -w wordlist.txt -o results.txt | Les résultats sont affichés à l'écran par défaut. |
Bon à savoir : augmenter -t à l'excès peut faire ressembler le scan à une attaque par déni de service aux yeux d'un pare-feu ou d'un WAF, et déclencher un blocage de l'IP source. Sur une cible en production, mieux vaut rester raisonnable sur le nombre de threads et surveiller le taux d'erreurs 5xx en retour.