🎯 Obiettivo di Gobuster
Scoprire la struttura nascosta di un sito web. In pratica, se il proprietario ha messo file importanti come /backup, /config o /admin ma non li ha linkati nel menu principale, Gobuster li trova per te.
⚙️ Prerequisiti
- Gobuster installato: (Su Linux/macOS: sudo apt install gobuster oppure scaricandolo da GitHub).
- Un Target Web: Un indirizzo IP o un dominio che vuoi testare (es. http://192.168.8.17).
- Un File di Wordlist: Una lista di nomi comuni per directory e file. Il più famoso è dirb/common.txt o le liste contenute in pacchetti come SecLists.
🚀 Livello 1: La Scansione Base (Directory Enumeration)
Questo è il comando che userai il 90% delle volte per iniziare. Stai dicendo a Gobuster: “Prova tutti questi nomi di cartelle su questo indirizzo.”
gobuster dir -u http://[TARGET_URL] -w /path/to/wordlist.txt
Spiegazione dei parametri:
- -d (o –directory-list): Indica che vuoi cercare directory e file.
- -u: Specifica l’URL del target web (es. http://192.168.8.17).
- -w: Wordlist. Questo è il cuore dello strumento. Devi puntare al percorso della lista di parole che contiene migliaia di nomi comuni (admin, backup, api, ecc.).
Esempio Pratico:
gobuster dir -u http://192.168.8.17 -w /usr/share/wordlists/dirb/common.txt
🔬 Livello 2: Scansione di File Specifiche (File Enumeration)
A volte non cerchi una cartella, ma un file specifico che potrebbe essere nascosto. Puoi usare la stessa logica cambiando il tipo di ricerca o usando liste più mirate.
Esempio: Se sospetti che ci sia un backup in formato ZIP:
gobuster dir -u http://192.168.8.17 -w /usr/share/wordlists/dirbuster/directories.jbrofuzz
⚙️ Livello 3: Scansione di Protocolli Diversificati (Versatilità)
Gobuster non è solo per HTTP! Puoi usarlo anche su altri protocolli, come FTP o SMB, se hai le liste appropriate.
Esempio (FTP):
gobuster dir -u ftp://[TARGET_URL] -w /path/to/ftp_wordlist.txt
💡 Consigli dell’Esperto per la Padronanza:
- Non usare solo una wordlist: Se il primo tentativo con common.txt non dà risultati, prova liste più specifiche (es. quelle contenenti nomi di versioni software o termini legati al tuo settore).
- Analizza i Risultati: Gobuster ti restituirà un codice di stato HTTP per ogni tentativo:
• 200 OK: TROVATO! Questa è una directory/file accessibile e pubblica. È il risultato più importante.
• 403 Forbidden: Il server sa che la risorsa esiste, ma ti impedisce di vederla (potrebbe essere protetta da un firewall o autenticazione). È un indizio prezioso!
• 404 Not Found: La directory/file non esiste.
In sintesi: Gobuster è il tuo “occhio” che spia ogni angolo del sito web, mentre Nmap è la tua “radar” che vede se le porte sono aperte. Usali in sequenza!