Skip to main content
Escaneando contenido web con Dirbuster

Escaneando contenido web con Dirbuster

Dirbuster es una herramienta de fuerza bruta para el descubrimiento de ficheros y directorios en portales web.

Bienvenidos a un nuevo post en ByteMind. En este caso os traigo la herramienta Dirbuster, una herramienta de fuerza bruta para el escaneo de ficheros y directorios en portales web. Al igual que vimos en el anterior post con Dirb, en este caso la herramienta final realiza acciones muy parecidas, sólo que en este caso nos ofrece una gui muy sencilla para facilitar el trabajo, para aquellos que prefieran una interfaz antes que la consola.

 

¿Qué es Dirbuster?

Dirbuster es una aplicación Java multi hilo diseñada con el fin de obtener nombres de directorios y ficheros en servidores web por medio de ataques de fuerza bruto. En muchas ocasiones es posible encontrar ciertas rutas y ficheros que pueden ayudar a descubrir la estructura de una aplicación, así como en muchos casos ciertos ficheros que por descuido no se han ocultado o denegado correctamente.

En ocasiones caemos en una situación que parece una instalación de un servidor por defecto, pero en verdad contiene páginas y aplicaciones ocultas que podemos descubrir con esta herramienta.

Por defecto, esta herramienta viene con 9 diccionarios diferentes para encontrar los archivos y directorios del portal, pero además, posee la opción de realizar ataques de fuera bruta para que no se nos escape nada.

 

Instalación de Dirbuster

Los usuarios de Kali Linux, ya disponen de esta herramienta instalada por defecto, así como de un listado de diccionarios en la ruta por defecto:

Aquellos que no utilicéis esta distribución podéis descargar la misma desde la web de sourceforge

 

Como utilizar Dirbuster

Una vez instalado abriremos dicha aplicación, ya sea desde el icono del menú de aplicaciones o desde la consola, en nuestro caso la abriremos desde la consola:

Y se abrirá una ventana similar a la siguiente:

Escaneando contenido web con Dirbuster

Ahora podremos indicar varios puntos para personalizar nuestro ataque:

  • URL objetivo del escaneo
  • Métodos HTTP utilizados
  • Número de hilos
  • Diccionario a utilizar o pura fuerza bruta
  • Opciones específicas como el directorio en el que comenzamos o la extensión de ficheros a buscar
  • Una URI concreto sobre la cual realizar el escaneo

Completadas estas opciones lanzamos nuestro escaneo:

Escaneando contenido web con Dirbuster

 

Lo dejamos trabajar y nos irá mostrando aquellos ficheros y directorios que encuentre durante el escaneo:

Escaneando contenido web con Dirbuster

 

Y esto ha sido todo por el momento, espero les ayude en sus auditorías y/o CTF y como siempre cualquier duda, aporte o sugerencia es bienvenida en la sección de comentarios.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.