Gobuster هي أداة شائعة لتعداد الويب واختبار الاختراق، تُستخدم لاكتشاف الدلائل والنطاقات الفرعية والمضيفين الافتراضيين. في هذه المقالة، نستعرض الأداة إلى جانب تقديم إجابات لـ TryHackMe Gobuster: غرفة الأساسيات

Gobuster لفحص الويب واختبار الاختراق

تُعتبر Gobuster أداة مستخدمة على نطاق واسع في اختبار الاختراق والأمن السيبراني، وهي مخصصة بشكل أساسي لاستكشاف الويب. تساعد الأداة محترفي الأمن الأخلاقي على اكتشاف الدلائل المخفية والنطاقات الفرعية والمضيفين الافتراضيين على خادم الويب. في هذا المقال، سنناقش وظائف Gobuster، وكيفية استخدامها عمليًا، وأفضل الممارسات لاستخدامها بفعالية

ما هو فحص الويب (Web Enumeration)؟

فحص الويب هو عملية البحث عن الموارد المخفية في تطبيق الويب أو الخادم، وتشمل:

  • الدلائل (Directories): قد تحتوي على بيانات حساسة وغير معلنة للجمهور.
  • المجالات الفرعية التي يمكن أن تؤدي إلى مجالات تطبيق غير مكتشفة.
  • الدلائل (Directories): قد تحتوي على بيانات حساسة وغير معلنة للجمهور.
  • الملفات الحساسة (Sensitive Files): مثل ..env أوadmin.php. .git/

تقوم Gobuster بأتمتة عملية الفحص هذه، مما يجعلها أداة أساسية لتدقيق الأمان واختبار الاختراق.

تثبيت Gobuster

لتثبيت Gobuster على نظام Kali Linux أو أي نظام مبني على Debian، استخدم الأمر التالي:

sudo apt apt install gobuster

بدلاً من ذلك، يمكنك تثبيته عبر Go:

اذهب لتثبيت github.com/OJ/OJ/gobuster/v3@latest

تأكد من تثبيت Go قبل استخدام هذه الطريقة.

الميزات الرئيسية لـ Gobuster

1. فحص الدلائل (Directory Enumeration)

هذا هو الوضع الأكثر استخدامًا للعثور على الدلائل المخفية على خادم الويب.

gobuster dir -u http://example.com -w /usr/share/wordlists/dirb/common.txt
  • dir → dir → وضع البحث عن الدلائل
  • -u → عنوان URL الهدف
  • -w → -w → مسار قائمة الكلمات (Wordlist)
أعلام (Flags) مفيدة::
العلمالوصف
-x php,htmlالبحث عن امتدادات ملفات محددة مثل PHP وHTML
-t 50تحديد عدد الخيوط (Threads) لتحسين السرعة (القيمة الافتراضية: 10)
-o results.txtحفظ النتائج في ملف لتحليلها لاحقًا

فحص النطاقات الفرعية (Subdomain Enumeration)

هذا الوضع يُستخدم لاكتشاف النطاقات الفرعية لموقع معين.

gobuster dns -d example.com -w /usr/share/wordlists/subdomains-top1million-5000.txt
  • dns →dns → وضع البحث عن النطاقات الفرعية
  • -d → -d → النطاق المستهدف
  • -w → -w → قائمة الكلمات المستخدمة في البحثt
أعلام (Flags) مفيدة::
العلمالوصف
--wildcardالكشف عن النطاقات الفرعية العشوائية (Wildcard Subdomains)
--delay 1sإضافة تأخير بين الطلبات لتجنب الحظر

3. فحص المضيفين الافتراضيين (Virtual Host Enumeration)

يُستخدم هذا الوضع للعثور على مواقع متعددة مستضافة على نفس عنوان IP.

gobuster vhost -u http://example.com -w /usr/share/wordlists/virtual-hosts.txt
  • vhost → vhost → وضع البحث عن المضيفين الافتراضيين
  • -u → عنوان URL الهدف
  • -w → -w → قائمة الكلمات المستخدمة

أفضل الممارسات لاستخدام Gobuster بفعالية

ااستخدم قوائم كلمات مناسبة: القوائم الكبيرة تستغرق وقتًا أطول ولكنها تعطي نتائج أفضل..

تصفية أكواد HTTP غير الضرورية: استخدم –--status-codesلعرض النتائج المفيدة فقط.

ضبط عدد الخيوط (Threads): زيادة العدد-t 50 قد تسرّع البحث ولكنها قد تؤدي إلى تحميل زائد على الخادم..

تجنب الاكتشاف: استخدم —--delay 1s لتقليل عدد الطلبات وتجنب الحظر.

TryHackMe التحقيق في ويندوز |إجابات الغرفة

واحدة من أفضل الطرق لتعلم Gobuster هي من خلال مختبر عملي مثل TryHackMe – Gobuster: الأساسيات. في هذا التحدي، يتعلم المستخدمون ما يلي:

  • تكوين إعدادات DNS للتفاعل مع الجهاز الهدف.
  • استخدم تعداد الدليل للعثور على ملفات الويب المخفية.
  • نشر تعداد النطاقات الفرعية والمضيف الظاهري لإجراء تحليل أعمق.

أمر شائع من التحدي:

gobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt -x php,html,js

يبحث هذا الفحص عن الدلائل والملفات التي تحتوي على امتدادات PHP و HTML و JavaScript.

ما هي العلامة التي نستخدمها لتحديد عنوان URL الهدف؟
-u

ما هو الأمر الذي نستخدمه لوضع تعداد النطاقات الفرعية؟
dns

ما العلامة التي يجب إضافتها إلى الأمر لتخطي التحقق من TLS؟ أدخل ترميز العلم الطويل.

–لا-التحقق من صحة الرسائل النصية القصيرة

تعداد أدلة www.offensivetools.thm. ما الدليل الذي يلفت انتباهك؟

السر

استمر في تعداد الدليل الموجود في السؤال 2. ستجد ملفًا مثيرًا للاهتمام هناك بامتداد .js. ما هو العلم الموجود في هذا الملف؟
THM{ReconWasASuccess}

بصرف النظر عن الكلمة الأساسية dns وعلامة -w، ما هي علامة الاختصار المطلوبة لكي يعمل الأمر؟

-d

باستخدام الأوامر التي تم تعلمها في هذه المهمة، كم عدد النطاقات الفرعية التي تم تكوينها للنطاق offensivetools.thm؟

4

استخدم الأوامر التي تعلمتها في هذه المهمة للإجابة عن السؤال التالي: كم عدد المضيفات على المجال offensivetools.thm التي تستجيب برمز الحالة 200؟
4

فيديو تفصيلي

الخاتمة

Gobuster هي أداة قوية وأساسية لفحص الويب في اختبار الاختراق باستخدام أوضاعها المختلفة (الدلائل، النطاقات الفرعية، والمضيفين الافتراضيين)، يمكن لمحترفي الأمن السيبراني اكتشاف الموارد المخفية وتعزيز أمان تطبيقات الويب كما أن التدريب على تحديات مثل TryHackMe يساعد المستخدمين على تطوير مهارات عملية في الاختراق الأخلاقي.

الملخص

🔍 مقدمة عن Gobuster: أداة شهيرة لفحص الويب واختبار الاختراق، تُستخدم لاكتشاف الدلائل، النطاقات الفرعية، والمضيفين الافتراضيين.

🛠️ البداية: استخدم الأمرgobuster -h لعرض قائمة الأوامر والأعلام المتاحة.

📁 وضع الدليل: استخدم gobuster dir لتعداد دلائل الويب وتحديد الملفات أو الدلائل المخفية.

🌐 فحص النطاقات الفرعية: يساعدgobuster dns في العثور على النطاقات الفرعية لموقع معين.

🏠 فحص المضيفين الافتراضيين: وضع gobuster vhost يكتشف المواقع المستضافة على نفس الخادم.

⚙️ أهم الأعلام والخيارات

  • -o :: حفظ النتائج في ملف للتحليل لاحقًاا.
  • -t :: التحكم في عدد الخيوط لإدارة استهلاك الموارد.
  • -w :: استخدام قوائم الكلمات المناسبة لنتائج أكثر دقة.
  • -c :: إدخال ملفات تعريف الارتباط (Cookies) في عمليات الفحص للمصادقة
  • --no-tls-validation ::no-tls-validation → تجاوز التحقق من شهادات SSL/TLS.
  • -x ::تحديد امتدادات الملفات المستهدفة مثل .php, .js و
,
Show Comments

The MasterMinds Notes

About the Author

Mastermind Study Notes is a group of talented authors and writers who are experienced and well-versed across different fields. The group is led by, Motasem Hamdan, who is a Cybersecurity content creator and YouTuber.

View Articles