🕵️♂️ Dirb: Цифровой детектив, который находит все
Кратко: Представьте, что ваш сайт — это огромный дом. Есть парадная дверь (главная страница), куда все заходят, но есть и черные ходы: админ-панели, старые бэкапы, забытые тестовые страницы. Dirb — это детектив с отмычкой, который систематически проверяет каждую дверь и окно, чтобы понять, куда можно проникнуть . Он не ищет уязвимости, он ищет само существование скрытых страниц и каталогов .
🤔 Как это работает? Dirb — это классический инструмент командной строки, который уже много лет входит в состав Kali Linux . Это старый, проверенный "боец", который не умеет красиво рисовать графики, но делает свою работу чётко и предсказуемо. Он использует метод brute force (перебор по словарю) . Представьте: у вас есть список самых популярных названий для папок (admin, backup, images, css) и файлов (index.php, config.php, robots.txt). Dirb по очереди подставляет их к адресу вашего сайта и смотрит на реакцию сервера : · Код 200 (OK): Ура! Страница существует. · Код 403 (Forbidden): Папка есть, но доступ закрыт (тоже полезная информация). · Код 301 (Moved): Нас перенаправляют — значит, за адресом что-то есть. Именно так находятся те самые "скрытые" админки, о которых разработчики забыли предупредить начальника.
🛠️ Как им пользоваться (Боевые примеры) Синтаксис максимально простой: dirb [путь_к_словарю].
1. Разведка "по-быстрому" (со встроенным словарём) dirb https://example.com
Запустит сканирование с дефолтным словарём Dirb (common.txt). Отлично подходит для быстрой проверки, не нужно ничего скачивать.
2. Охота на файлы (Поиск расширений) Допустим, вы знаете, что сайт написан на PHP, и хотите найти не только admin, но и admin.php, admin.html. dirb https://example.com /usr/share/wordlists/dirb/common.txt -X .php,.html,.bak
Ключ -X велит Dirb добавить эти расширения к каждому слову из словаря . Отлично находит файлы бэкапов (например, config.php.bak).
3. "Копаем" глубже (Рекурсивный поиск) Нашли папку /secret/? Интересно, что там внутри?
dirb https://example.com -r
Ключ -r включает рекурсивный режим. Найденные директории сканируются снова и снова, пока не найдут всё . Это как зайти в секретную комнату и начать там проверять все шкафчики.
4. Маскируемся (User-Agent) Некоторые хитрые фаерволы блокируют "подозрительных" ботов.
dirb https://example.com -a "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36"
Ключ -a меняет "визитку" вашего браузера, маскируя Dirb под обычного пользователя Chrome.
📋 Где живут словари? Сила Dirb — в словарях. В Kali Linux они лежат в папке /usr/share/dirb/wordlists/ : · common.txt : Самый популярный список для начала. · big.txt : Более обширный список (больше шума, но и больше находок). · extensions_common.txt : Список расширений файлов (asp, jsp, php, txt).
⚠️ Когда палка стреляет дважды (Или куда смотреть?) Главная проблема Dirb в 2026 году — скорость. Он однопоточный (в классическом понимании) и довольно медленный. Современные конкуренты (GoBuster, FFuF) используют асинхронные запросы и работают в десятки раз быстрее. Альтернативы: · GoBuster: Написан на Go. Быстрый и надежный. · FFuF: Настоящий "Феррари" для фаззинга, умеет всё . Dirb — это ваш надёжный "волк-одиночка". Если вам нужно простое, надёжное решение, которое есть в любой системе Kali Linux — берите Dirb. Если вам нужна максимальная скорость и обход сложных WAF — смотрите в сторону FFuF . Резюме: Dirb — это легенда пентеста. Он идеален для изучения основ и для ситуаций, когда под рукой нет ничего, кроме стандартного набора Kali. Но в реальном бою против современных защит его часто меняют на более молодых "гонщиков" .
