Les 5 meilleurs outils Linux pour l’éclatement de répertoires

par
Tweetez
Partagez
Enregistrer
Partagez
Partagez
0 Partages

Points clés à retenir

  • L’éclatement de répertoires est une technique essentielle du piratage éthique pour découvrir des répertoires et des fichiers cachés sur un serveur ou une application Web.
  • Linux propose plusieurs outils pour l’éclatement de répertoires, tels que DIRB, DirBuster, Gobuster, ffuf et dirsearch.
  • Ces outils automatisent le processus d’envoi de requêtes HTTP à un serveur Web et de deviner les noms de répertoires pour trouver des ressources non annoncées sur la navigation ou le plan du site Web.

MUO VIDÉO DU JOUR

FAITES DÉFILER POUR CONTINUER AVEC LE CONTENU

Lors de la phase de reconnaissance de chaque pentest d’application web, il est essentiel de trouver d’éventuels répertoires sur l’application. Ces répertoires peuvent contenir des informations et des résultats importants qui vous aideraient grandement à trouver des vulnérabilités dans l’application et à améliorer sa sécurité.

Heureusement, il existe des outils sur Internet qui facilitent, automatisent et accélèrent le forçage brutal des répertoires. Voici cinq outils d’éclatement de répertoires sur Linux pour énumérer les répertoires cachés sur une application Web.

Qu’est-ce que l’éclatement d’annuaire ?

L’éclatement de répertoire, également connu sous le nom de « forçage brut de répertoire », est une technique utilisée dans le piratage éthique pour découvrir des répertoires et des fichiers cachés sur un serveur ou une application Web. Cela implique de tenter systématiquement d’accéder à différents répertoires en devinant leurs noms ou en énumérant une liste de répertoires et de noms de fichiers communs.

  Comment sauvegarder les paramètres du navigateur Vivaldi sur Linux

Le processus d’éclatement de répertoire implique généralement l’utilisation d’outils ou de scripts automatisés qui envoient des requêtes HTTP à un serveur Web, en essayant différents répertoires et noms de fichiers pour trouver des ressources qui ne sont pas explicitement liées ou annoncées sur la navigation ou le plan du site Web.

Il existe des centaines d’outils gratuits disponibles sur Internet pour effectuer un éclatement de répertoire. Voici quelques outils gratuits que vous pouvez utiliser lors de votre prochain test d’intrusion :

1. DIRB

DIRB est un outil de ligne de commande Linux populaire utilisé pour analyser et forcer les répertoires sur les applications Web. Il énumère les répertoires possibles à partir d’une liste de mots par rapport à une URL de site Web.

DIRB est déjà installé sur Kali Linux. Cependant, si vous ne l’avez pas installé, il n’y a rien à craindre. Vous avez juste besoin d’une simple commande pour l’installer.

Pour les distributions basées sur Debian, exécutez :

 sudo apt install dirb

Pour les distributions Linux non Debian telles que Fedora et CentOS, exécutez :

 sudo dnf install dirb

Sur Arch Linux, exécutez :

 yay -S dirb

Comment utiliser DIRB pour les répertoires Bruteforce

La syntaxe pour effectuer un forçage brut d’annuaire sur une application Web est la suivante :

 dirb [url] [path to wordlist]

Par exemple, si vous deviez forcer brutalement https://example.com, ce serait la commande :

 dirb https://example.com wordlist.txt

Vous pouvez également exécuter la commande sans spécifier de liste de mots. Le DIRB utiliserait son fichier de liste de mots par défaut, common.txt, pour analyser le site Web.

 dirb https://example.com

2. Dir Buster

DirBuster est très similaire à DIRB. La principale différence est que DirBuster possède une interface utilisateur graphique (GUI) contrairement à DIRB qui est un outil de ligne de commande. DIRB vous permet de configurer les analyses bruteforce du répertoire à votre goût et de filtrer les résultats par code d’état et d’autres paramètres intéressants.

  Comment installer l'application Trojita Mail sur Linux

Vous pouvez également définir le nombre de threads déterminant la vitesse à laquelle vous souhaitez que les analyses s’exécutent et les extensions de fichier spécifiques que vous souhaitez que l’application recherche pour vous.

Tout ce que vous avez à faire est d’entrer l’URL cible que vous souhaitez analyser, la liste de mots que vous souhaitez utiliser, les extensions de fichier et le nombre de fils (facultatif), puis cliquez sur Démarrer.

Au fur et à mesure de la progression de l’analyse, DirBuster affichera les répertoires et fichiers découverts dans l’interface. Vous pouvez voir l’état de chaque demande (par exemple, 200 OK, 404 Not Found) et le chemin des éléments découverts. Vous pouvez également enregistrer les résultats de l’analyse dans un fichier pour une analyse plus approfondie. Cela aiderait à documenter vos découvertes.

DirBuster est installé sur Kali Linux, mais vous pouvez facilement installer DirBuster sur Ubuntu.

3. Gobuster

Gobuster est un outil de ligne de commande écrit en Go utilisé pour forcer brutalement des répertoires et des fichiers sur des sites Web, ouvrir des compartiments Amazon S3, des sous-domaines DNS, des noms d’hôtes virtuels sur des serveurs Web cibles, des serveurs TFTP, etc.

Pour installer Gobuster sur les distributions Debian de Linux comme Kali, exécutez :

 sudo apt install gobuster

Pour la famille RHEL de distributions Linux, exécutez ;

 sudo dnf install gobuster

Sur Arch Linux, exécutez :

 yay -S gobuster

Sinon, si vous avez installé Go, exécutez :

 go install github.com/OJ/gobuster/v3@latest

Comment utiliser Gobuster

La syntaxe pour utiliser Gobuster pour forcer les répertoires dans les applications Web est :

 gobuster dir -u [url] -w [path to wordlist]

Par exemple, si vous souhaitez forcer brutalement les répertoires sur https://example.com, la commande ressemblera à ceci :

 gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffouf

ffuf est un fuzzer Web très rapide et un outil de forçage de répertoire écrit en Go. Il est très polyvalent et particulièrement connu pour sa rapidité et sa facilité d’utilisation.

  Comment installer le thème d'icônes Boston sur Linux

Puisque ffuf est écrit en Go, vous devez avoir installé Go 1.16 ou supérieur sur votre PC Linux. Vérifiez votre version de Go avec cette commande :

 go version

Pour installer ffuf, exécutez cette commande :

 go install github.com/ffuf/ffuf/v2@latest

Ou vous pouvez cloner le dépôt github et le compiler en utilisant cette commande :

 git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build

Comment utiliser ffuf pour les répertoires Bruteforce

La syntaxe de base pour le forçage brut de répertoire avec ffuf est :

 ffuf -u [URL/FUZZ] -w [path to wordlist]

Par exemple, pour analyser https://example.com, la commande serait :

 ffuf -u https://example.com/FUZZ -w wordlist.txt

5. recherche

dirsearch est un autre outil de ligne de commande de force brute utilisé pour énumérer les répertoires sur une application Web. Il est particulièrement apprécié en raison de sa sortie colorée bien qu’il s’agisse d’une application basée sur un terminal.

Vous pouvez installer dirsearch via pip en exécutant :

 pip install dirsearch

Vous pouvez également cloner le dépôt GitHub en exécutant :

 git clone https://github.com/maurosoria/dirsearch.git --depth 1

Comment utiliser dirsearch pour les répertoires Bruteforce

La syntaxe de base pour utiliser dirsearch dans les répertoires bruteforce est :

 dirsearch -u [URL]

Pour forcer brutalement les répertoires sur https://example.com, il vous suffit de :

 dirsearch -u https://example.com

Il ne fait aucun doute que ces outils vous feront gagner beaucoup de temps que vous auriez passé manuellement à essayer de deviner ces répertoires. En cybersécurité, le temps est un grand atout, c’est pourquoi chaque professionnel profite d’outils open-source pour optimiser ses processus quotidiens.

Il existe des milliers d’outils gratuits, en particulier sur Linux, pour rendre votre travail plus efficace, tout ce que vous avez à faire est d’explorer et de choisir ce qui fonctionne pour vous !