Gobuster目录/文件扫描工具

Gobuster 介绍

类型：Go 语言编写的命令行扫描工具

功能：目录/文件暴力扫描、子域名枚举、虚拟主机发现

特点：

• 速度快：多线程扫描，效率高，适合远程或云服务器
• 轻量级：CPU/内存占用低，适合自动化脚本
• 灵活性高：支持自定义字典、代理、HTTP 认证、输出文件等
• 模式多样：目录扫描（dir）、DNS 子域扫描（dns）、虚拟主机扫描（vhost）

安装

在 Kali 或 Linux 上：

sudo apt update
sudo apt install gobuster -y

检查版本：

gobuster -v

目录/文件扫描

gobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt -t 50 -o result.txt

• dir → 目录/文件扫描模式
• -u → 目标 URL
• -w → 字典文件路径（Kali 自带字典 /usr/share/wordlists/dirb/common.txt，大字典 /usr/share/wordlists/dirb/big.txt 可选）
• -t → 线程数
• -o → 输出文件
  使用场景：扫描敏感目录，如 /admin、/backup、/.git、/config.php

DNS 子域扫描

gobuster dns -d target.com -w /usr/share/wordlists/dns/subdomains-top1million-5000.txt -t 50 -o dns_result.txt

• dns → 子域扫描模式
• -d → 目标域名
• -w → Kali 自带子域字典 /usr/share/wordlists/dns/subdomains-top1million-5000.txt
  使用场景：发现隐藏子域、资产管理、渗透测试前期信息收集

虚拟主机扫描

gobuster vhost -u http://target.com -w /usr/share/wordlists/vhosts.txt -t 50 -o vhost_result.txt

• vhost → 虚拟主机扫描模式
• -u → 主 URL
• -w → 字典文件，可使用 Kali 自带虚拟主机字典 /usr/share/wordlists/vhosts.txt
  使用场景：发现隐藏站点或多租户环境下的子站点

高级用法

• 使用代理：

gobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt -t 50 --proxy http://127.0.0.1:8080

• 添加 HTTP 认证：

gobuster dir -u http://target.com -w /usr/share/wordlists/dirb/common.txt -t 50 -a "username:password"

使用场景总结