Aller au contenu principal
← retour au blog

GoBuster !

Force pure… ou brut pour les vhost, sous-domaine et répertoires dans la query string ;) gobuster !

GoBuster est un outil de brute-force écrit en Go, utilisé pour découvrir des répertoires, fichiers, sous-domaines ou vhosts cachés sur une cible web. Sa rapidité, grâce à la concurrence native de Go, en fait un choix courant en reconnaissance web. Récapitulatif des options essentielles :

OptionDescriptionExemple d'utilisationRemarques
-uSpécifie l'URL cible à analyser.gobuster dir -u http://example.comObligatoire pour tous les modes (dir, dns, vhost).
-wChemin vers le fichier de wordlist (liste de mots) à utiliser pour le brute-forcing.gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txtLes wordlists courantes incluent dirbuster, SecLists, ou rockyou.txt.
dirMode "directory brute-forcing" : recherche de répertoires et fichiers sur un serveur web.gobuster dir -u http://example.com -w wordlist.txtLe mode le plus utilisé, mais il reste un argument obligatoire : gobuster n'a pas de mode implicite, il faut toujours en préciser un (dir, dns, vhost...).
dnsMode "DNS brute-forcing" : recherche de sous-domaines pour un domaine donné.gobuster dns -d example.com -w subdomains.txtNécessite un serveur DNS configuré ou l'utilisation de DNS publics comme Google (8.8.8.8).
vhostMode "virtual host brute-forcing" : recherche de noms d'hôtes virtuels sur une adresse IP.gobuster vhost -u http://192.168.1.1 -w vhosts.txtUtile pour découvrir des sites hébergés sur la même IP.
-tNombre de threads à utiliser pour le brute-forcing (par défaut : 10).gobuster dir -u http://example.com -w wordlist.txt -t 50Augmenter ce nombre accélère le scan, mais peut surcharger le serveur ou être bloqué.
-xSpécifie les extensions de fichiers à tester (ex: .php, .html).gobuster dir -u http://example.com -w wordlist.txt -x php,html,txtUtile pour découvrir des fichiers avec des extensions spécifiques.
-sCodes de statut HTTP à inclure (par défaut : 200, 204, 301, 302, 307, 401, 403).gobuster dir -u http://example.com -w wordlist.txt -s 200,301,403Permet de filtrer les résultats selon les codes HTTP.
-bCodes de statut HTTP à exclure.gobuster dir -u http://example.com -w wordlist.txt -b 404Utile pour ignorer les pages inexistantes.
-oSauvegarde les résultats dans un fichier.gobuster dir -u http://example.com -w wordlist.txt -o results.txtLes résultats sont affichés à l'écran par défaut.

Bon à savoir : augmenter -t à l'excès peut faire ressembler le scan à une attaque par déni de service aux yeux d'un pare-feu ou d'un WAF, et déclencher un blocage de l'IP source. Sur une cible en production, mieux vaut rester raisonnable sur le nombre de threads et surveiller le taux d'erreurs 5xx en retour.