Eine der Kernkompetenzen der AWARE7 GmbH sind die Penetrationstests. In diesen Tests geht es darum Sicherheitslücken in bspw. Web Applikationen zu finden. Bei solchen Tests werden diverse Pentest-Tools verwendet um Sicherheitslücken oder andere Schwachstellen zu finden. In unserer neuen Blog-Reihe werden wir wöchentlich ein Tool vorstellen, mit dem wir in unseren Pentest arbeiten. Unser Pentest-Tool #1 ist dirbuster.
Pentest-Tools #1 – dirbuster
Den Start der neuen Reihe macht ein Tool, welches vor allem dann benutzt wird, wenn es um Web-Anwendungen geht. Die Organisation OWASP, die bspw. durch den Juice Shop sehr bekannt ist, hat dirbuster als Open Source Projekt entwickelt. Der Quellcode zu diesem Pentest-Tool, welches in der Kali-Linux Version bereits installiert ist, befindet sich auf GitHub.
Web-Anwendungen haben es an sich, dass es mehrere Unterseiten gibt, die z.B. das Impressum anzeigen oder eine inhaltliche Unterseite bereitstellen. Die offensichtlichsten Unterseiten sind meist auf der Homepage verlinkt, z.B. ist auf der AWARE7-Homepage die Unterseite von den Live-Hacking-Events verlinkt. Der Großteil der Unterseiten sind jedoch nicht auf der Homepage verlinkt und können somit auf den ersten Blick nicht gefunden werden.
Genau hier setzt dirbuster ein, denn dirbuster versucht mit einer langen Liste an geläufigen Unterseiten, die Unterseiten zu finden die auf dem aktuellen Webserver tatsächlich liegen. Dieser Prozess ist in etwa vergleichbar mit einem Angriff gegen ein Login von einem Nutzer. Bei gegebener Email-Adresse wird das Passwort ausprobiert, dafür wird eine Liste mit den Passwörtern verwendet, welche weltweit am häufigsten verwendet werden. Die Listen die für dirbuster verwendet werden befinden sich bspw. bei Kali Linux vorinstalliert in dem Verzeichnis /usr/share/wordlists/dirbuster.
Beispiele aus dieser Liste sind die Unterseiten /wp-admin, oder auch /etc. Technisch gesehen fragt dirbuster den Webserver nach ob eine gewisse Unterseite erreichbar ist. Bei einer Antwort weiß das Programm das dort eine Unterseite liegt, kommt keine Antwort zurück bzw. eine Fehlermeldung, weiß dirbuster das die versuchte Unterseite nicht existiert.
Mithilfe von dirbuster können so sämtliche Unterseiten gefunden werden. In unseren vergangenen Pentests sind häufig Unterseiten aufgetaucht die schlecht geschützt waren, aufgrund der Tatsache das diese von dem Unternehmen vergessen wurden. Viele Unterseiten beinhalten sensible Informationen, daher lohnt sich ein Blick auf die Resultate von dirbuster.
dirbuster in der Praxis
Im folgenden schauen wir uns dirbuster in der Praxis an. Das Programm startet durch den einfachen Befehl “dirbuster”, der im Terminal eingegeben werden muss. Anschließend öffnet sich ein Interface, indem wir nun unsere Zieladresse eingeben können, in unserem Beispiel “https://aware7.de”. Wir können diverse Einstellungen setzen, die für unterschiedliche Scans sorgen, detaillierte Anleitungen dazu findet man auf der Kali-Webseite zu diesem Tool.
Für unser Beispiel reichen die default-Einstellungen mit einer Wortliste aus dem oben genannten Verzeichnis, die einzige Veränderung die wir durchführen ist, dass wir nur noch Dirs (Directories) suchen möchten und lediglich GET Methoden benutzen.
Nachdem das Tool durchgelaufen ist können wir sämtliche Unterseiten sehen, die dirbuster auf dem Webserver der AWARE7 GmbH gefunden hat. Darunter sind auch einige Seiten, die nicht durch Verlinkungen hätten gefunden werden können.
Dies ist das erste Tool, welches wir euch vorstellen möchten. Dirbuster kommt in nahezu jedem Penetrationstest von der AWARE7 GmbH zum Einsatz.
