Como usar o DirBuster: Guia completo para iniciantes sobre varredura de diretórios

O que é DirBuster?

DirBuster é um aplicativo Java multi-thread projetado para forçar bruta diretórios e nomes de arquivos em servidores web e de aplicativos. Originalmente desenvolvido pelo Open Web Application Security Project (OWASP) e agora disponível no SourceForge, ele funciona fazendo solicitações HTTP usando entradas de uma lista de palavras para descobrir conteúdo oculto.

Aplicativos web frequentemente contêm diretórios e arquivos que não estão vinculados à navegação principal. Isso pode incluir:

• Painéis de administração em caminhos como /admin ou /administrator
• Arquivos de backup como config.bak ou database.sql
• Arquivos de desenvolvimento como pastas .git ou phpinfo.php
• Endpoints de API não documentados publicamente
• Versões antigas de arquivos com nomes como index.php.old

DirBuster encontra esses recursos ocultos testando sistematicamente milhares de caminhos potenciais contra seu alvo. Quando o servidor responde com um código de status indicando que o recurso existe (como 200 OK ou 403 Forbidden), o DirBuster o sinaliza para sua revisão.

A ferramenta oferece tanto uma interface gráfica do usuário (GUI) quanto modo de linha de comando sem interface. A GUI torna amigável para iniciantes, exibindo resultados em tempo real como uma lista e uma estrutura em árvore que mapeia a hierarquia de diretórios descobertos.

Ao contrário de algumas ferramentas de segurança que oferecem versões baseadas na web, o DirBuster é executado localmente em sua máquina. Isso lhe dá controle total sobre parâmetros de varredura, listas de palavras e saída, mas requer instalação antes do uso.

Como usar o DirBuster no Kali Linux

DirBuster vem pré-instalado na maioria das distribuições de testes de penetração. No Kali Linux, você pode verificar sua presença ou instalá-lo com um único comando.

Verificar se o DirBuster está instalado

Abra um terminal e digite:

which dirbuster

Se instalado, isso retorna o caminho para o executável, tipicamente /usr/bin/dirbuster.

Instalar o DirBuster

Se o DirBuster não estiver presente, instale-o usando apt:

sudo apt update && sudo apt install dirbuster

A instalação inclui tanto o aplicativo quanto uma coleção de listas de palavras em /usr/share/dirbuster/wordlists/.

Iniciando o DirBuster

Você tem várias maneiras de iniciar o DirBuster:

• Do terminal: Digite dirbuster e pressione Enter
• Do menu: Navegue para Applications > Web Application Analysis > dirbuster
• Da linha de comando com opções: dirbuster -u http://target.com

A GUI abre em uma nova janela, pronta para configuração. Se você é novo no Kali Linux, nosso guia sobre atualização do Kali Linux garante que suas ferramentas estejam atualizadas antes dos testes.

Depois de iniciar o DirBuster, você está pronto para configurar sua primeira varredura. As seções abaixo orientam você através de cada configuração da GUI e explicam como executar sua enumeração de diretórios inicial.

Entendendo a interface gráfica do DirBuster

A interface do DirBuster pode parecer complexa no início, mas é organizada logicamente. Entender cada componente ajuda você a configurar varreduras efetivamente.

Painel de configuração principal

No topo da janela, você encontrará as configurações essenciais:

• Target URL: Insira a URL completa incluindo protocolo (http:// ou https://) e porta se não padrão
• Work Method: Escolha entre solicitações GET (mais rápido, padrão) ou HEAD (menos intrusivo)
• Number of Threads: Controla conexões concorrentes; padrão é 10
• Caixa Go Faster: Remove o atraso de educação entre solicitações

Seleção de tipo de varredura

DirBuster oferece duas abordagens de varredura:

• List based brute force: Usa um arquivo de lista de palavras; este é o método mais comum
• Pure brute force: Gera combinações de caracteres; extremamente lento e raramente prático

Para quase todos os cenários, use força bruta baseada em lista com uma lista de palavras apropriada.

Configurações de extensão de arquivo

O campo "File extension" permite especificar extensões para anexar a cada entrada da lista de palavras. Por exemplo, inserir php,txt,bak significa que cada palavra é testada como diretório e com cada extensão.

Se sua lista de palavras contém "config", o DirBuster testa:

• /config (como diretório)
• /config.php
• /config.txt
• /config.bak

Exibição de resultados

A seção inferior mostra resultados em duas abas:

• Results - List View: Mostra cada descoberta com URL, código de resposta e tamanho
• Results - Tree View: Exibe a estrutura de diretórios como uma árvore hierárquica

Ambas as visualizações atualizam em tempo real à medida que o DirBuster descobre conteúdo.

Como usar o DirBuster: Tutorial passo a passo

Vamos percorrer uma varredura completa do início ao fim. Este tutorial assume que você tem um alvo legalmente autorizado.

Passo 1: Configurar o alvo

No campo "Target URL", insira seu endereço alvo. Inclua o protocolo e a porta:

http://192.168.1.100:80

Para alvos HTTPS:

https://target.example.com:443

A barra final é opcional; o DirBuster lida com ambos os formatos.

Passo 2: Selecionar uma lista de palavras

Clique em "Browse" ao lado do campo "File with list of dirs/files". Navegue até o diretório de listas de palavras:

/usr/share/dirbuster/wordlists/

Você encontrará várias opções:

• directory-list-2.3-small.txt (87.650 entradas) - Varreduras rápidas
• directory-list-2.3-medium.txt (220.546 entradas) - Abordagem equilibrada
• directory-list-2.3-big.txt (1.273.819 entradas) - Abrangente mas lento

Comece com a lista small ou medium. Você sempre pode executar varreduras adicionais com listas maiores se necessário.

Passo 3: Configurar extensões

No campo "File extension", adicione extensões relevantes para seu alvo. Escolhas comuns incluem:

• Aplicativos PHP: php, phps, php5, phtml
• ASP.NET: asp, aspx, ashx, asmx
• Web geral: html, htm, txt, xml, json
• Arquivos de backup: bak, old, backup, orig, save

Para um alvo PHP, você pode inserir: php,txt,bak,old

Passo 4: Ajustar contagem de threads

Os 10 threads padrão funcionam para a maioria dos alvos. Considere essas diretrizes:

• Servidores lentos: Reduzir para 5 threads
• Servidores robustos: Aumentar para 20-50 threads
• Alvos com limitação de taxa: Usar menos threads para evitar bloqueios

Contagens de threads mais altas completam varreduras mais rapidamente, mas aumentam a chance de detecção ou sobrecarregar o alvo.

Passo 5: Iniciar a varredura

Clique em "Start" para começar. A barra de progresso mostra a porcentagem de conclusão, e as abas de Resultados se preenchem com descobertas. Você verá entradas aparecerem com códigos de status como:

• 200 OK: O recurso existe e está acessível
• 301/302: Redirecionamento para outro local
• 403 Forbidden: Existe mas acesso negado
• 404 Not Found: Não existe (geralmente filtrado dos resultados)

Passo 6: Analisar resultados

Revise descobertas na List View. Preste atenção especial a:

• Respostas 200 para conteúdo acessível
• Respostas 403 indicando diretórios protegidos que existem
• Nomes de arquivo incomuns sugerindo artefatos de desenvolvimento
• Extensões de backup que podem expor código-fonte

Mude para Tree View para entender a hierarquia de diretórios. Esta visualização ajuda você a identificar padrões e planejar enumeração adicional de subdiretórios interessantes.

Passo 7: Exportar resultados

Quando a varredura terminar, exporte suas descobertas. Vá para Report > Generate Report e escolha seu formato (HTML, XML ou texto simples). Esta documentação é essencial para relatórios profissionais de testes de penetração.

Lista de palavras DirBuster: Escolhendo a certa

Sua lista de palavras determina o que o DirBuster pode encontrar. Uma lista de palavras abrangente melhora as taxas de descoberta, enquanto uma lista direcionada reduz o tempo de varredura.

Listas de palavras padrão do DirBuster

As listas de palavras incluídas em /usr/share/dirbuster/wordlists/ cobrem cenários comuns:

• directory-list-2.3-small.txt: Varreduras rápidas, ~87K entradas, completa em minutos
• directory-list-2.3-medium.txt: Padrão da indústria, ~220K entradas, equilibra velocidade e cobertura
• directory-list-2.3-big.txt: Exaustiva, ~1,3M entradas, leva horas na maioria dos alvos

Coleção SecLists

Para mais opções, instale SecLists, a coleção de listas de palavras mais abrangente disponível:

sudo apt install seclists

Após a instalação, encontre listas de enumeração de diretórios em /usr/share/seclists/Discovery/Web-Content/. Opções notáveis incluem:

• common.txt - Ponto de partida rápido com ~4.600 entradas
• raft-small-directories.txt - Compilada a partir de rastreamentos de sites reais
• big.txt - Lista extensa para testes completos

Para recomendações detalhadas de listas de palavras, nosso guia de listas de palavras Gobuster cobre estratégias de seleção que se aplicam igualmente ao DirBuster.

Estratégia de lista de palavras

Siga esta abordagem para varredura eficiente:

1. Comece com common.txt para vitórias rápidas
2. Progrida para listas medium se os resultados iniciais forem escassos
3. Use listas grandes apenas para alvos de alto valor com tempo suficiente
4. Crie listas personalizadas baseadas em reconhecimento do alvo

Comandos DirBuster: Usando a linha de comando

DirBuster suporta modo sem interface para scripts ou ao executar em sistemas sem GUI. Este modo é útil para automação e testes remotos.

Sintaxe básica de linha de comando

dirbuster -H -u http://target.com -l /caminho/para/wordlist.txt -e php,txt

Opções principais de linha de comando:

• -H - Executar em modo sem interface (sem GUI)
• -u - URL alvo
• -l - Caminho para arquivo de lista de palavras
• -e - Extensões de arquivo para testar
• -t - Número de threads (padrão: 10)
• -r - Caminho para salvar o arquivo de relatório
• -s - Diretório para começar a varredura

Exemplo completo

dirbuster -H -u http://192.168.1.100 -l /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -e php,txt,bak -t 20 -r /tmp/dirbuster_report.txt

Este comando varre o alvo com 20 threads, testa extensões PHP, TXT e BAK, e salva resultados em um arquivo.

Quando usar modo linha de comando

• Executar varreduras em servidores remotos via SSH
• Automatizar varreduras em scripts ou pipelines
• Sistemas com memória limitada onde a sobrecarga da GUI é indesejada
• Varredura em lote de múltiplos alvos

DirBuster vs Gobuster: Qual você deve usar

Testadores de penetração modernos frequentemente perguntam se devem usar DirBuster ou seu sucessor baseado em Go, Gobuster. Ambas as ferramentas servem propósitos similares, mas diferem em implementação e recursos.

Vantagens do DirBuster

• Interface GUI: Mais fácil para iniciantes; visualização em árvore dos resultados
• Relatórios integrados: Gerar relatórios formatados diretamente
• Opção de força bruta pura: Gerar combinações de caracteres (raramente útil mas disponível)
• Pausar e retomar: Parar varreduras e continuar depois

Vantagens do Gobuster

• Velocidade: Escrito em Go, tipicamente mais rápido que DirBuster baseado em Java
• Uso de memória menor: Mais eficiente para listas de palavras grandes
• Modos adicionais: Enumeração de subdomínios DNS, descoberta de host virtual, varredura de buckets S3
• Desenvolvimento ativo: Atualizações regulares e novos recursos

Recomendação

Use DirBuster quando você quer uma GUI, precisa de relatórios integrados, ou está aprendendo o básico de enumeração de diretórios. Mude para Gobuster para varreduras mais rápidas, automação com scripts, ou quando você precisa de enumeração DNS e vhost. Muitos profissionais usam ambas as ferramentas dependendo da situação. Aprenda a sintaxe do Gobuster com nossa coleção de folhas de referência.

Dicas para enumeração de diretórios eficaz

Obter bons resultados do DirBuster requer mais do que apenas clicar em Start. Essas técnicas melhoram sua taxa de descoberta e eficiência.

Reconhecimento primeiro

Antes de varrer, colete informações sobre seu alvo:

• Identifique o servidor web (Apache, Nginx, IIS)
• Determine a linguagem de programação (PHP, ASP.NET, Python)
• Note quaisquer frameworks ou plataformas CMS

Essas informações orientam a seleção da lista de palavras e escolhas de extensão. Um servidor IIS executando ASP.NET precisa de extensões diferentes de um servidor Apache executando PHP.

Comece com varreduras focadas

Comece com uma lista de palavras pequena e extensões comuns. Se você encontrar um diretório interessante como /api/, execute uma varredura separada contra esse caminho especificamente:

Target URL: http://target.com/api/

Esta abordagem recursiva encontra conteúdo mais profundo sem varrer toda a lista de palavras contra cada caminho base possível.

Investigue respostas 403

Uma resposta 403 Forbidden significa que o diretório existe, mas o acesso é negado. Essas são descobertas valiosas. O diretório pode:

• Permitir acesso de IPs específicos
• Requerer autenticação que você pode contornar
• Conter subdiretórios mal configurados com permissões mais flexíveis

Observe páginas de erro personalizadas

Alguns aplicativos retornam 200 OK para páginas inexistentes com uma mensagem "não encontrado" personalizada. O DirBuster pode relatá-los como encontrados. Verifique a coluna de tamanho de resposta; páginas legítimas tipicamente têm tamanhos variados, enquanto páginas de erro são uniformes.

Considere timing e limitação de taxa

Varredura agressiva aciona controles de segurança. Se você notar quedas de conexão ou latência aumentada:

• Reduzir contagem de threads
• Desmarcar "Go Faster" para adicionar atrasos
• Mudar de solicitações GET para HEAD

Paciência frequentemente produz melhores resultados do que velocidade.

Considerações legais e éticas

DirBuster envia potencialmente milhares de solicitações a um servidor alvo. Esta atividade é apenas legal quando você tem autorização explícita do proprietário do sistema.

Casos de uso autorizados

• Testes de penetração com uma carta de contratação assinada
• Programas de recompensas de bugs onde enumeração está no escopo
• Testar seus próprios aplicativos e infraestrutura
• Competições CTF e laboratórios intencionalmente vulneráveis
• Ambientes educacionais projetados para prática de segurança

Nunca escaneie sem permissão

Varredura não autorizada é ilegal na maioria das jurisdições, independentemente da intenção. Mesmo se você descobrir uma vulnerabilidade, acessar sistemas sem permissão pode resultar em acusações criminais. A defesa "eu estava apenas testando" não se sustenta em tribunal.

Documente sua autorização

Antes de qualquer teste de penetração, obtenha autorização por escrito que inclua especificamente:

• Endereços IP alvo ou domínios
• Períodos de teste
• Técnicas permitidas (incluindo enumeração de diretórios)
• Contatos de emergência

Mantenha esta documentação acessível durante todo o seu compromisso. Se questionado, você pode provar imediatamente sua autorização.

Ambientes de prática seguros

Construa suas habilidades em sistemas intencionalmente vulneráveis. As opções incluem laboratórios HackerDNA, OWASP WebGoat, DVWA e máquinas VulnHub. Esses ambientes permitem que você pratique técnicas agressivas sem risco legal. Confira nosso guia CTF para iniciantes para mais plataformas de prática.

Perguntas frequentes

Como instalo o DirBuster no Kali Linux?

Execute sudo apt update && sudo apt install dirbuster em seu terminal. Na maioria das instalações Kali, o DirBuster vem pré-instalado. Inicie-o digitando dirbuster no terminal ou encontrando-o no menu de aplicativos em Web Application Analysis.

Qual é a melhor lista de palavras para DirBuster?

Comece com directory-list-2.3-medium.txt para um bom equilíbrio de cobertura e velocidade. Para varreduras rápidas, use common.txt do SecLists. A melhor escolha depende do seu alvo e restrições de tempo.

DirBuster é melhor que Gobuster?

Cada ferramenta tem pontos fortes. DirBuster oferece uma GUI e relatórios integrados, tornando-o amigável para iniciantes. Gobuster é mais rápido e suporta modos de enumeração adicionais como DNS e hosts virtuais. Muitos profissionais usam ambas as ferramentas dependendo do cenário.

Quanto tempo leva uma varredura DirBuster?

A duração da varredura depende do tamanho da lista de palavras, extensões, contagem de threads e tempo de resposta do alvo. Uma lista de palavras medium (220K entradas) com 10 threads contra um servidor responsivo completa em 30-60 minutos. Listas de palavras grandes podem levar várias horas.

Por que o DirBuster perde diretórios que eu sei que existem?

DirBuster só encontra o que está em sua lista de palavras. Se um diretório usa um nome incomum que não está em sua lista, não será descoberto. Tente listas de palavras maiores, adicione extensões relevantes, ou crie listas de palavras personalizadas baseadas em reconhecimento do alvo.

Posso usar o DirBuster contra sites HTTPS?

Sim, DirBuster suporta HTTP e HTTPS. Insira a URL completa com o protocolo https:// no campo Target URL. A ferramenta lida com conexões SSL/TLS automaticamente.

Posso usar o DirBuster online sem instalá-lo?

DirBuster é um aplicativo de desktop que requer instalação local. Não há versão online oficial. Scanners de diretórios baseados na web existem, mas faltam a personalização e controle do DirBuster. Para melhores resultados, instale o DirBuster no Kali Linux onde você pode configurar listas de palavras e parâmetros de varredura livremente.

Comece a praticar enumeração de diretórios hoje

Você agora sabe como usar o DirBuster para enumeração de diretórios web, desde uso básico da GUI até automação de linha de comando. Os pontos-chave a lembrar: escolha listas de palavras apropriadas para seu alvo, preste atenção a todos os códigos de resposta incluindo erros 403, e sempre obtenha autorização adequada antes de varrer.

DirBuster permanece uma ferramenta valiosa no arsenal de qualquer testador de aplicativos web. Sua interface gráfica o torna acessível para iniciantes enquanto fornece o poder necessário para avaliações profissionais. Combinado com reconhecimento adequado e seleção cuidadosa de listas de palavras, ele revela conteúdo oculto que navegação manual nunca descobriria.

Pronto para colocar suas habilidades em prática? Explore nosso curso de ataques web para experiência prática com enumeração de diretórios e outras técnicas de teste de aplicativos web. Quanto mais você pratica em ambientes seguros, mais eficazes suas avaliações do mundo real se tornam.