• Skip to primary navigation
  • Skip to main content
  • Skip to primary sidebar

LinuxSec Exploit

Nothing is Ever Locked

  • XSS Payloads
  • About Us

Directory Traversal Attack Menggunakan DirBuster

June 10, 2016 by Jack Wilder 3 Comments

Kali ini saya akan menulis mengenai Directory Traversal Attack.Ini adalah jenis serangan bruteforce yang memnungkinkan penyerang untuk mendapatkan struktur direktori dan file pada web target, untuk selanjutnya dianalisa celah atau exploit yang digunakan.

Nah untuk saya sendiri biasanya menggunakan DirBuster untuk melakukan Directory Traversal Attack. Biasanya saya gunakan untuk menemukan file uploader atau admin login.

DirBuster sendiri merupakan project dari OWASP, dibuat menggunakan bahasa pemrograman Java dan digunakan untuk melakukan bruteforce direktori tersembunyi serta file dari web yang tidak seharusnya dipublikasikan.
Fitur dari DirBuster :
  1. Multi threaded has been recorded at over 6000 requests/sec
  2. Works over both http and https
  3. Scan for both directory and files
  4. Will recursively scan deeper into directories it finds
  5. Able to perform a list based or pure brute force scan
  6. DirBuster can be started on any directory
  7. Custom HTTP headers can be added
  8. Proxy support
  9. Auto switching between HEAD and GET requests
  10. Content analysis mode when failed attempts come back as 200
  11. Custom file extensions can be used
  12. Performance can be adjusted while the program in running
  13. Supports Basic, Digest and NTLM auth
  14. Command line * GUI interface

Untuk tools nya bisa kalian download disini :
Download DirBuster
Di dalamnya juga sudah ada file berisi wordlist dari nama direktori dan file.
  • directory-list-2.3-small.txt – (87650 words) – Directories/files that where found on at least 3 different hosts
  • directory-list-2.3-medium.txt – (220546 words) – Directories/files that where found on at least 2 different hosts
  • directory-list-2.3-big.txt – (1273819 words) – All directories/files that where found
  • directory-list-lowercase-2.3-small.txt – (81629 words) – Case insensitive version of directory-list-2.3-small.txt
  • directory-list-lowercase-2.3-medium.txt – (207629 words) – Case insensitive version of directory-list-2.3-medium.txt
  • directory-list-lowercase-2.3-big.txt – (1185240 words) – Case insensitive version of directory-list-2.3-big.txt
  • directory-list-1.0.txt – (141694 words) – Original unordered list
  • apache-user-enum-1.0.txt – (8916 usernames) – Used for guessing system users on apache with the userdir module enabled, based on a username list I had lying around (unordered)
  • apache-user-enum-2.0.txt – (10341 usernames) – Used for guessing system users on apache with the userdir module enabled, based on ~XXXXX found during list generation (Ordered)

Cara menggunakannya cukup mudah, setelah di ekstrak, masuk ke direktori DirBuster-nya, lalu masukkan command berikut di terminal :

java -jar DirBuster-0.12.jar

Nah setelah DirBuster terbuka, masukkan target dan juga port nya (jika port dari server berada di port khusus seperti 1337 dll. Jangan lupa pilih jenis wordlist yang ingin digunakan.
Lalu tinggal tunggu tools ini bekerja.
Lamanya proses scan tergantung koneksi kalian dan bagus tidaknya respon dari server target.
DirBuster sendiri merupakan tools yang bisa disebut memudahkan kita untuk melakukan information gathering pada server target, yang tentu saja memudahkan kita nantinya untuk menemukan exploit apa yang cocok digunakan di server tersebut.
Oke sekian tutorial dan share kali ini, semoga bermanfaat, jangan lupa subscribe. 😀

Filed Under: Uncategorized Tagged With: Exploit, Hacking, Linux

Reader Interactions

Comments

  1. dimas agus says

    June 10, 2016 at 9:21 am

    semua orang sekarang bisa jadi defacer :V oh ya btw jkt48cyber nya gmna om? :v

    Reply
  2. Luthfi Naufal says

    June 13, 2016 at 3:32 am

    :v

    Reply
  3. obat radang tenggorokan says

    June 13, 2016 at 11:46 am

    makasih infonya saya ngerasa kebantu bingit. he

    Reply

Leave a Reply Cancel reply

Your email address will not be published. Required fields are marked *

Primary Sidebar

Popular Post

Deface WordPress dengan Exploit WordPress Plugins WPShop File Upload Vulnerability

WordPress Army Knife CSRF File Upload Vulnerability

Bruteforce FTP Login dengan Metasploit Module FTP Authentication Scanner

DNS Hijacking through Social Engineering

Exploit WPStore Themes Upload Vulnerability

WordPress 4.7.0/4.7.1 Content Injection Exploit

Tumblr Custom Domain or Subdomain Takeover

Azure Traffic Manager Custom Domain or Subdomain Takeover

Cara Deface Website dengan Teknik Local File Inclusion

bWAPP Remote File Inclusion Medium Security Level

LinuxSec / 11 queries in 0.10 seconds