Comment utiliser DirBuster : Guide complet pour débutants sur le scan de répertoires

Qu'est-ce que DirBuster ?

DirBuster est une application Java multi-thread conçue pour forcer brutalement les répertoires et les noms de fichiers sur les serveurs web et d'applications. Développé à l'origine par l'Open Web Application Security Project (OWASP) et maintenant disponible sur SourceForge, il fonctionne en faisant des requêtes HTTP en utilisant des entrées d'une liste de mots pour découvrir du contenu caché.

Les applications web contiennent souvent des répertoires et des fichiers qui ne sont pas liés depuis la navigation principale. Ceux-ci peuvent inclure :

• Panneaux d'administration à des chemins comme /admin ou /administrator
• Fichiers de sauvegarde tels que config.bak ou database.sql
• Fichiers de développement comme des dossiers .git ou phpinfo.php
• Endpoints d'API non documentés publiquement
• Anciennes versions de fichiers avec des noms comme index.php.old

DirBuster trouve ces ressources cachées en testant systématiquement des milliers de chemins potentiels contre votre cible. Lorsque le serveur répond avec un code de statut indiquant que la ressource existe (comme 200 OK ou 403 Forbidden), DirBuster le signale pour votre examen.

L'outil offre à la fois une interface utilisateur graphique (GUI) et un mode ligne de commande sans interface. La GUI le rend convivial pour les débutants, affichant les résultats en temps réel sous forme de liste et de structure arborescente qui cartographie la hiérarchie des répertoires découverts.

Contrairement à certains outils de sécurité qui offrent des versions basées sur le web, DirBuster s'exécute localement sur votre machine. Cela vous donne un contrôle total sur les paramètres de scan, les listes de mots et la sortie, mais nécessite une installation avant utilisation.

Comment utiliser DirBuster sur Kali Linux

DirBuster est pré-installé sur la plupart des distributions de tests d'intrusion. Sur Kali Linux, vous pouvez vérifier sa présence ou l'installer avec une seule commande.

Vérifier si DirBuster est installé

Ouvrez un terminal et tapez :

which dirbuster

Si installé, cela retourne le chemin vers l'exécutable, typiquement /usr/bin/dirbuster.

Installer DirBuster

Si DirBuster n'est pas présent, installez-le en utilisant apt :

sudo apt update && sudo apt install dirbuster

L'installation inclut à la fois l'application et une collection de listes de mots dans /usr/share/dirbuster/wordlists/.

Lancer DirBuster

Vous avez plusieurs façons de démarrer DirBuster :

• Depuis le terminal : Tapez dirbuster et appuyez sur Entrée
• Depuis le menu : Naviguez vers Applications > Web Application Analysis > dirbuster
• Depuis la ligne de commande avec options : dirbuster -u http://target.com

La GUI s'ouvre dans une nouvelle fenêtre, prête pour la configuration. Si vous êtes nouveau sur Kali Linux, notre guide sur la mise à jour de Kali Linux garantit que vos outils sont à jour avant les tests.

Après avoir lancé DirBuster, vous êtes prêt à configurer votre premier scan. Les sections ci-dessous vous guident à travers chaque paramètre de la GUI et expliquent comment exécuter votre énumération de répertoires initiale.

Comprendre l'interface graphique de DirBuster

L'interface de DirBuster peut sembler complexe au début, mais elle est organisée de manière logique. Comprendre chaque composant vous aide à configurer des scans efficacement.

Panneau de configuration principal

En haut de la fenêtre, vous trouverez les paramètres essentiels :

• Target URL : Entrez l'URL complète incluant le protocole (http:// ou https://) et le port si non standard
• Work Method : Choisissez entre les requêtes GET (plus rapide, par défaut) ou HEAD (moins intrusive)
• Number of Threads : Contrôle les connexions concurrentes ; par défaut 10
• Case Go Faster : Supprime le délai de politesse entre les requêtes

Sélection du type de scan

DirBuster offre deux approches de scan :

• List based brute force : Utilise un fichier de liste de mots ; c'est la méthode la plus courante
• Pure brute force : Génère des combinaisons de caractères ; extrêmement lent et rarement pratique

Pour presque tous les scénarios, utilisez le brute force basé sur liste avec une liste de mots appropriée.

Paramètres d'extension de fichier

Le champ "File extension" vous permet de spécifier des extensions à ajouter à chaque entrée de liste de mots. Par exemple, entrer php,txt,bak signifie que chaque mot est testé comme répertoire et avec chaque extension.

Si votre liste de mots contient "config", DirBuster teste :

• /config (comme répertoire)
• /config.php
• /config.txt
• /config.bak

Affichage des résultats

La section inférieure affiche les résultats dans deux onglets :

• Results - List View : Affiche chaque découverte avec URL, code de réponse et taille
• Results - Tree View : Affiche la structure des répertoires sous forme d'arbre hiérarchique

Les deux vues se mettent à jour en temps réel à mesure que DirBuster découvre du contenu.

Comment utiliser DirBuster : Tutoriel étape par étape

Parcourons un scan complet du début à la fin. Ce tutoriel suppose que vous avez une cible légalement autorisée.

Étape 1 : Configurer la cible

Dans le champ "Target URL", entrez votre adresse cible. Incluez le protocole et le port :

http://192.168.1.100:80

Pour les cibles HTTPS :

https://target.example.com:443

La barre oblique finale est optionnelle ; DirBuster gère les deux formats.

Étape 2 : Sélectionner une liste de mots

Cliquez sur "Browse" à côté du champ "File with list of dirs/files". Naviguez vers le répertoire des listes de mots :

/usr/share/dirbuster/wordlists/

Vous trouverez plusieurs options :

• directory-list-2.3-small.txt (87 650 entrées) - Scans rapides
• directory-list-2.3-medium.txt (220 546 entrées) - Approche équilibrée
• directory-list-2.3-big.txt (1 273 819 entrées) - Complet mais lent

Commencez avec la liste small ou medium. Vous pouvez toujours exécuter des scans supplémentaires avec des listes plus grandes si nécessaire.

Étape 3 : Configurer les extensions

Dans le champ "File extension", ajoutez des extensions pertinentes pour votre cible. Les choix courants incluent :

• Applications PHP : php, phps, php5, phtml
• ASP.NET : asp, aspx, ashx, asmx
• Web général : html, htm, txt, xml, json
• Fichiers de sauvegarde : bak, old, backup, orig, save

Pour une cible PHP, vous pourriez entrer : php,txt,bak,old

Étape 4 : Ajuster le nombre de threads

Les 10 threads par défaut fonctionnent pour la plupart des cibles. Considérez ces directives :

• Serveurs lents : Réduire à 5 threads
• Serveurs robustes : Augmenter à 20-50 threads
• Cibles avec limitation de débit : Utiliser moins de threads pour éviter les blocages

Des nombres de threads plus élevés complètent les scans plus rapidement mais augmentent les chances de détection ou de submerger la cible.

Étape 5 : Démarrer le scan

Cliquez sur "Start" pour commencer. La barre de progression affiche le pourcentage d'achèvement, et les onglets Résultats se remplissent avec les découvertes. Vous verrez des entrées apparaître avec des codes de statut comme :

• 200 OK : La ressource existe et est accessible
• 301/302 : Redirection vers un autre emplacement
• 403 Forbidden : Existe mais accès refusé
• 404 Not Found : N'existe pas (généralement filtré des résultats)

Étape 6 : Analyser les résultats

Examinez les découvertes dans la List View. Portez une attention particulière à :

• Réponses 200 pour le contenu accessible
• Réponses 403 indiquant des répertoires protégés qui existent
• Noms de fichiers inhabituels suggérant des artefacts de développement
• Extensions de sauvegarde qui pourraient exposer le code source

Passez à Tree View pour comprendre la hiérarchie des répertoires. Cette visualisation vous aide à repérer des modèles et à planifier une énumération plus approfondie des sous-répertoires intéressants.

Étape 7 : Exporter les résultats

Lorsque le scan se termine, exportez vos découvertes. Allez dans Report > Generate Report et choisissez votre format (HTML, XML ou texte brut). Cette documentation est essentielle pour les rapports de tests d'intrusion professionnels.

Liste de mots DirBuster : Choisir la bonne

Votre liste de mots détermine ce que DirBuster peut trouver. Une liste de mots complète améliore les taux de découverte, tandis qu'une liste ciblée réduit le temps de scan.

Listes de mots DirBuster par défaut

Les listes de mots incluses dans /usr/share/dirbuster/wordlists/ couvrent des scénarios courants :

• directory-list-2.3-small.txt : Scans rapides, ~87K entrées, se termine en minutes
• directory-list-2.3-medium.txt : Norme de l'industrie, ~220K entrées, équilibre vitesse et couverture
• directory-list-2.3-big.txt : Exhaustif, ~1,3M entrées, prend des heures sur la plupart des cibles

Collection SecLists

Pour plus d'options, installez SecLists, la collection de listes de mots la plus complète disponible :

sudo apt install seclists

Après l'installation, trouvez des listes d'énumération de répertoires dans /usr/share/seclists/Discovery/Web-Content/. Les options notables incluent :

• common.txt - Point de départ rapide avec ~4 600 entrées
• raft-small-directories.txt - Compilée à partir d'explorations de sites web réels
• big.txt - Liste étendue pour des tests approfondis

Pour des recommandations détaillées de listes de mots, notre guide de listes de mots Gobuster couvre des stratégies de sélection qui s'appliquent également à DirBuster.

Stratégie de liste de mots

Suivez cette approche pour un scan efficace :

1. Commencez avec common.txt pour des gains rapides
2. Progressez vers des listes medium si les résultats initiaux sont rares
3. Utilisez de grandes listes uniquement pour les cibles de grande valeur avec suffisamment de temps
4. Créez des listes personnalisées basées sur la reconnaissance de la cible

Commandes DirBuster : Utiliser la ligne de commande

DirBuster prend en charge le mode sans interface pour les scripts ou lors de l'exécution sur des systèmes sans GUI. Ce mode est utile pour l'automatisation et les tests à distance.

Syntaxe de base de la ligne de commande

dirbuster -H -u http://target.com -l /chemin/vers/wordlist.txt -e php,txt

Options clés de la ligne de commande :

• -H - Exécuter en mode sans interface (pas de GUI)
• -u - URL cible
• -l - Chemin vers le fichier de liste de mots
• -e - Extensions de fichiers à tester
• -t - Nombre de threads (par défaut : 10)
• -r - Chemin pour enregistrer le fichier de rapport
• -s - Répertoire à partir duquel commencer le scan

Exemple complet

dirbuster -H -u http://192.168.1.100 -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e php,txt,bak -t 20 -r /tmp/dirbuster_report.txt

Cette commande scanne la cible avec 20 threads, teste les extensions PHP, TXT et BAK, et enregistre les résultats dans un fichier.

Quand utiliser le mode ligne de commande

• Exécution de scans sur des serveurs distants via SSH
• Automatisation de scans dans des scripts ou des pipelines
• Systèmes avec mémoire limitée où la surcharge de la GUI est indésirable
• Scan par lots de plusieurs cibles

DirBuster vs Gobuster : Lequel devriez-vous utiliser

Les testeurs d'intrusion modernes se demandent souvent s'ils doivent utiliser DirBuster ou son successeur basé sur Go, Gobuster. Les deux outils servent des objectifs similaires mais diffèrent en implémentation et en fonctionnalités.

Avantages de DirBuster

• Interface GUI : Plus facile pour les débutants ; vue arborescente visuelle des résultats
• Rapports intégrés : Générer des rapports formatés directement
• Option de brute force pur : Générer des combinaisons de caractères (rarement utile mais disponible)
• Pause et reprise : Arrêter les scans et continuer plus tard

Avantages de Gobuster

• Vitesse : Écrit en Go, généralement plus rapide que DirBuster basé sur Java
• Utilisation de mémoire inférieure : Plus efficace pour les grandes listes de mots
• Modes supplémentaires : Énumération de sous-domaines DNS, découverte d'hôtes virtuels, scan de buckets S3
• Développement actif : Mises à jour régulières et nouvelles fonctionnalités

Recommandation

Utilisez DirBuster lorsque vous voulez une GUI, avez besoin de rapports intégrés, ou apprenez les bases de l'énumération de répertoires. Passez à Gobuster pour des scans plus rapides, une automatisation scriptée, ou lorsque vous avez besoin d'énumération DNS et vhost. De nombreux professionnels utilisent les deux outils selon la situation. Apprenez la syntaxe de Gobuster avec notre collection d'aide-mémoires.

Conseils pour une énumération de répertoires efficace

Obtenir de bons résultats de DirBuster nécessite plus que simplement cliquer sur Start. Ces techniques améliorent votre taux de découverte et votre efficacité.

Reconnaissance d'abord

Avant de scanner, recueillez des informations sur votre cible :

• Identifiez le serveur web (Apache, Nginx, IIS)
• Déterminez le langage de programmation (PHP, ASP.NET, Python)
• Notez les frameworks ou les plateformes CMS

Ces informations guident la sélection de la liste de mots et les choix d'extensions. Un serveur IIS exécutant ASP.NET nécessite des extensions différentes d'un serveur Apache exécutant PHP.

Commencez avec des scans ciblés

Commencez avec une petite liste de mots et des extensions courantes. Si vous trouvez un répertoire intéressant comme /api/, exécutez un scan séparé contre ce chemin spécifiquement :

Target URL: http://target.com/api/

Cette approche récursive trouve du contenu plus profond sans scanner toute la liste de mots contre chaque chemin de base possible.

Enquêtez sur les réponses 403

Une réponse 403 Forbidden signifie que le répertoire existe mais que l'accès est refusé. Ce sont des découvertes précieuses. Le répertoire pourrait :

• Autoriser l'accès depuis des IP spécifiques
• Nécessiter une authentification que vous pouvez contourner
• Contenir des sous-répertoires mal configurés avec des permissions plus souples

Surveillez les pages d'erreur personnalisées

Certaines applications renvoient 200 OK pour les pages inexistantes avec un message "non trouvé" personnalisé. DirBuster pourrait les signaler comme trouvées. Vérifiez la colonne de taille de réponse ; les pages légitimes ont généralement des tailles variables, tandis que les pages d'erreur sont uniformes.

Considérez le timing et la limitation de débit

Un scan agressif déclenche des contrôles de sécurité. Si vous remarquez des interruptions de connexion ou une latence accrue :

• Réduire le nombre de threads
• Décocher "Go Faster" pour ajouter des délais
• Passer des requêtes GET aux requêtes HEAD

La patience donne souvent de meilleurs résultats que la vitesse.

Considérations légales et éthiques

DirBuster envoie potentiellement des milliers de requêtes à un serveur cible. Cette activité n'est légale que lorsque vous avez une autorisation explicite du propriétaire du système.

Cas d'utilisation autorisés

• Tests d'intrusion avec une lettre d'engagement signée
• Programmes de primes de bogues où l'énumération est dans le périmètre
• Test de vos propres applications et infrastructures
• Compétitions CTF et laboratoires intentionnellement vulnérables
• Environnements éducatifs conçus pour la pratique de la sécurité

Ne scannez jamais sans permission

Le scan non autorisé est illégal dans la plupart des juridictions, quelle que soit l'intention. Même si vous découvrez une vulnérabilité, accéder à des systèmes sans permission peut entraîner des accusations criminelles. La défense "je testais juste" ne tient pas en cour.

Documentez votre autorisation

Avant tout test d'intrusion, obtenez une autorisation écrite qui inclut spécifiquement :

• Adresses IP ou domaines cibles
• Périodes de test
• Techniques autorisées (incluant l'énumération de répertoires)
• Contacts d'urgence

Gardez cette documentation accessible tout au long de votre engagement. Si on vous interroge, vous pouvez immédiatement prouver votre autorisation.

Environnements de pratique sûrs

Développez vos compétences sur des systèmes intentionnellement vulnérables. Les options incluent les laboratoires HackerDNA, OWASP WebGoat, DVWA et les machines VulnHub. Ces environnements vous permettent de pratiquer des techniques agressives sans risque juridique. Consultez notre guide CTF pour débutants pour plus de plateformes de pratique.

Foire aux questions

Comment installer DirBuster sur Kali Linux ?

Exécutez sudo apt update && sudo apt install dirbuster dans votre terminal. Sur la plupart des installations Kali, DirBuster est pré-installé. Lancez-le en tapant dirbuster dans le terminal ou en le trouvant dans le menu des applications sous Web Application Analysis.

Quelle est la meilleure liste de mots pour DirBuster ?

Commencez avec directory-list-2.3-medium.txt pour un bon équilibre entre couverture et vitesse. Pour des scans rapides, utilisez common.txt de SecLists. Le meilleur choix dépend de votre cible et de vos contraintes de temps.

DirBuster est-il meilleur que Gobuster ?

Chaque outil a ses forces. DirBuster offre une GUI et des rapports intégrés, le rendant convivial pour les débutants. Gobuster est plus rapide et prend en charge des modes d'énumération supplémentaires comme DNS et les hôtes virtuels. De nombreux professionnels utilisent les deux outils selon le scénario.

Combien de temps prend un scan DirBuster ?

La durée du scan dépend de la taille de la liste de mots, des extensions, du nombre de threads et du temps de réponse de la cible. Une liste de mots medium (220K entrées) avec 10 threads contre un serveur réactif se termine en 30-60 minutes. Les grandes listes de mots peuvent prendre plusieurs heures.

Pourquoi DirBuster manque-t-il des répertoires que je sais exister ?

DirBuster ne trouve que ce qui est dans votre liste de mots. Si un répertoire utilise un nom inhabituel absent de votre liste, il ne sera pas découvert. Essayez des listes de mots plus grandes, ajoutez des extensions pertinentes, ou créez des listes de mots personnalisées basées sur la reconnaissance de la cible.

Puis-je utiliser DirBuster contre des sites HTTPS ?

Oui, DirBuster prend en charge HTTP et HTTPS. Entrez l'URL complète avec le protocole https:// dans le champ Target URL. L'outil gère automatiquement les connexions SSL/TLS.

Puis-je utiliser DirBuster en ligne sans l'installer ?

DirBuster est une application de bureau qui nécessite une installation locale. Il n'y a pas de version en ligne officielle. Des scanners de répertoires basés sur le web existent mais manquent de la personnalisation et du contrôle de DirBuster. Pour de meilleurs résultats, installez DirBuster sur Kali Linux où vous pouvez configurer librement les listes de mots et les paramètres de scan.

Commencez à pratiquer l'énumération de répertoires aujourd'hui

Vous savez maintenant comment utiliser DirBuster pour l'énumération de répertoires web, de l'utilisation de base de la GUI à l'automatisation en ligne de commande. Les points clés à retenir : choisissez des listes de mots appropriées pour votre cible, faites attention à tous les codes de réponse y compris les erreurs 403, et obtenez toujours une autorisation appropriée avant de scanner.

DirBuster reste un outil précieux dans l'arsenal de tout testeur d'applications web. Son interface graphique le rend accessible aux débutants tout en fournissant la puissance nécessaire pour les évaluations professionnelles. Combiné avec une reconnaissance appropriée et une sélection réfléchie de listes de mots, il révèle du contenu caché que la navigation manuelle ne découvrirait jamais.

Prêt à mettre vos compétences en pratique ? Explorez notre cours d'attaques web pour une expérience pratique avec l'énumération de répertoires et d'autres techniques de test d'applications web. Plus vous pratiquez dans des environnements sûrs, plus vos évaluations du monde réel deviennent efficaces.