Munscheidstr. 14 in 45886 Gelsenkirchen

Jetzt anrufen 0209 - 8830 6760

dirbuster – Verzeichnisse entdecken und Angriffe vorbereiten!

M.Sc. Chris Wojzechowski

Eine der Kernkompetenzen der AWARE7 GmbH sind die Penetrationstests. In diesen Tests geht es darum Sicherheitslücken in bspw. Web Applikationen zu finden. Bei solchen Tests werden diverse Pentest-Tools verwendet um Sicherheitslücken oder andere Schwachstellen zu finden. In unserer neuen Blog-Reihe werden wir wöchentlich ein Tool vorstellen, mit dem wir in unseren Pentest arbeiten. Unser Pentest-Tool #1 ist dirbuster.


Jetzt unser Whitepaper zur Active Directory Härtung kostenfrei herunterladen!

Das Active Directory ist die Achillesferse der IT-Infrastruktur.
Wir geben Ihnen 7 Hinweise, Empfehlungen sowie Tipps zur Härtung des Systems.


Pentest-Tools #1 – dirbuster

Den Start der neuen Reihe macht ein Tool, welches vor allem dann benutzt wird, wenn es um Web-Anwendungen geht. Die Organisation OWASP, die bspw. durch den Juice Shop sehr bekannt ist, hat dirbuster als Open Source Projekt entwickelt. Der Quellcode zu diesem Pentest-Tool, welches in der Kali-Linux Version bereits installiert ist, befindet sich auf GitHub.

Web-Anwendungen haben es an sich, dass es mehrere Unterseiten gibt, die z.B. das Impressum anzeigen oder eine inhaltliche Unterseite bereitstellen. Die offensichtlichsten Unterseiten sind meist auf der Homepage verlinkt, z.B. ist auf der AWARE7-Homepage die Unterseite von den Live-Hacking-Events verlinkt. Der Großteil der Unterseiten sind jedoch nicht auf der Homepage verlinkt und können somit auf den ersten Blick nicht gefunden werden.

Genau hier setzt dirbuster ein, denn dirbuster versucht mit einer langen Liste an geläufigen Unterseiten, die Unterseiten zu finden die auf dem aktuellen Webserver tatsächlich liegen. Dieser Prozess ist in etwa vergleichbar mit einem Angriff gegen ein Login von einem Nutzer. Bei gegebener Email-Adresse wird das Passwort ausprobiert, dafür wird eine Liste mit den Passwörtern verwendet, welche weltweit am häufigsten verwendet werden. Die Listen die für dirbuster verwendet werden befinden sich bspw. bei Kali Linux vorinstalliert in dem Verzeichnis /usr/share/wordlists/dirbuster.

Beispiele aus dieser Liste sind die Unterseiten /wp-admin, oder auch /etc. Technisch gesehen fragt dirbuster den Webserver nach ob eine gewisse Unterseite erreichbar ist. Bei einer Antwort weiß das Programm das dort eine Unterseite liegt, kommt keine Antwort zurück bzw. eine Fehlermeldung, weiß dirbuster das die versuchte Unterseite nicht existiert.

Mithilfe von dirbuster können so sämtliche Unterseiten gefunden werden. In unseren vergangenen Pentests sind häufig Unterseiten aufgetaucht die schlecht geschützt waren, aufgrund der Tatsache das diese von dem Unternehmen vergessen wurden. Viele Unterseiten beinhalten sensible Informationen, daher lohnt sich ein Blick auf die Resultate von dirbuster.


Erkennen Sie zuverlässig Phishing E-Mails?

Jetzt das AWARE7 Phishing Quiz absolvieren
und das eigene Wissen überprüfen!


dirbuster in der Praxis

Im folgenden schauen wir uns dirbuster in der Praxis an. Das Programm startet durch den einfachen Befehl „dirbuster“, der im Terminal eingegeben werden muss. Anschließend öffnet sich ein Interface, indem wir nun unsere Zieladresse eingeben können, in unserem Beispiel „http://bwmi6b.myraidbox.de“. Wir können diverse Einstellungen setzen, die für unterschiedliche Scans sorgen, detaillierte Anleitungen dazu findet man auf der Kali-Webseite zu diesem Tool.

Für unser Beispiel reichen die default-Einstellungen mit einer Wortliste aus dem oben genannten Verzeichnis, die einzige Veränderung die wir durchführen ist, dass wir nur noch Dirs (Directories) suchen möchten und lediglich GET Methoden benutzen.

Nachdem das Tool durchgelaufen ist können wir sämtliche Unterseiten sehen, die dirbuster auf dem Webserver der AWARE7 GmbH gefunden hat. Darunter sind auch einige Seiten, die nicht durch Verlinkungen hätten gefunden werden können.

Dies ist das erste Tool, welches wir euch vorstellen möchten. Dirbuster kommt in nahezu jedem Penetrationstest von der AWARE7 GmbH zum Einsatz.


Hat Ihnen der Beitrag gefallen? Gerne benachrichtigen wir Sie, wenn wir einen neuen Beitrag veröffentlicht haben. Tragen Sie jetzt Ihre E-Mail-Adresse ein. Für Sie entstehen keine Kosten.


Foto des Autors

M.Sc. Chris Wojzechowski

Mein Name ist Chris Wojzechowski und ich habe vor wenigen Jahren meinen Master in Internet-Sicherheit in Gelsenkirchen studiert. Ich bin einer von zwei Geschäftsführern der AWARE7 GmbH und ausgebildeter IT-Risk Manager, IT-Grundschutz Praktiker (TÜV) und besitze die Prüfverfahrenskompetenz für § 8a BSIG. Unser Brot und Buttergeschäft ist die Durchführung von Penetrationstests. Wir setzen uns darüber hinaus für ein breites Verständnis für IT-Sicherheit in Europa ein und bieten aus diesem Grund den Großteil unserer Produkte kostenfrei an.