Las 5 mejores herramientas de Linux para la explosión de directorios

por

Conclusiones clave

  • La explosión de directorios es una técnica esencial en la piratería ética para descubrir directorios y archivos ocultos en un servidor web o aplicación.
  • Linux ofrece varias herramientas para la explosión de directorios, como DIRB, DirBuster, Gobuster, ffuf y dirsearch.
  • Estas herramientas automatizan el proceso de enviar solicitudes HTTP a un servidor web y adivinar los nombres de los directorios para encontrar recursos que no se anuncian en la navegación o el mapa del sitio del sitio web.

MUO VÍDEO DEL DÍA

DESPLAZAR PARA CONTINUAR CON EL CONTENIDO

En la etapa de reconocimiento de cada pentest de aplicación web, es fundamental encontrar posibles directorios en la aplicación. Estos directorios pueden contener información y hallazgos significativos que lo ayudarían enormemente a encontrar vulnerabilidades en la aplicación y mejorar su seguridad.

Afortunadamente, existen herramientas en Internet que hacen que la fuerza bruta de directorios sea más fácil, automatizada y rápida. Aquí hay cinco herramientas de explosión de directorios en Linux para enumerar directorios ocultos en una aplicación web.

¿Qué es la explosión de directorios?

La explosión de directorios, también conocida como «fuerza bruta de directorios», es una técnica utilizada en la piratería ética para descubrir directorios y archivos ocultos en un servidor web o una aplicación. Implica intentar acceder sistemáticamente a diferentes directorios adivinando sus nombres o enumerando a través de una lista de directorios comunes y nombres de archivos.

El proceso de explosión de directorios generalmente implica el uso de herramientas o secuencias de comandos automatizadas que envían solicitudes HTTP a un servidor web, probando diferentes directorios y nombres de archivos para encontrar recursos que no están vinculados o anunciados explícitamente en la navegación o el mapa del sitio del sitio web.

  Cómo descargar fondos de pantalla de Ubuntu en cualquier sistema operativo Linux

Hay cientos de herramientas gratuitas disponibles en Internet para llevar a cabo la explosión de directorios. Aquí hay algunas herramientas gratuitas que puede usar en su próxima prueba de penetración:

1. DIRB

DIRB es una popular herramienta de línea de comandos de Linux que se utiliza para escanear y forzar directorios en aplicaciones web. Enumera posibles directorios de una lista de palabras contra la URL de un sitio web.

DIRB ya viene instalado en Kali Linux. Sin embargo, si no lo tienes instalado, no hay de qué preocuparse. Solo necesita un comando simple para instalarlo.

Para distribuciones basadas en Debian, ejecute:

 sudo apt install dirb

Para distribuciones de Linux que no sean Debian como Fedora y CentOS, ejecute:

 sudo dnf install dirb

En Arch Linux, ejecute:

 yay -S dirb

Cómo usar DIRB para directorios de fuerza bruta

La sintaxis para realizar fuerza bruta de directorios en una aplicación web es:

 dirb [url] [path to wordlist]

Por ejemplo, si tuviera que aplicar fuerza bruta a https://example.com, este sería el comando:

 dirb https://example.com wordlist.txt

También puede ejecutar el comando sin especificar una lista de palabras. DIRB usaría su archivo de lista de palabras predeterminado, common.txt, para escanear el sitio web.

 dirb https://example.com

2. Dir Buster

DirBuster es muy similar a DIRB. La principal diferencia es que DirBuster tiene una interfaz gráfica de usuario (GUI) a diferencia de DIRB, que es una herramienta de línea de comandos. DIRB te permite configurar los escaneos de fuerza bruta del directorio a tu gusto y filtrar los resultados por código de estado y otros parámetros interesantes.

  Cómo deshabilitar el panel táctil en Linux

También puede establecer la cantidad de subprocesos que determinan la velocidad a la que desea que se ejecuten los análisis y las extensiones de archivo específicas que desea que la aplicación busque por usted.

Todo lo que necesita hacer es ingresar la URL de destino que desea escanear, la lista de palabras que desea usar, las extensiones de archivo y la cantidad de hilos (opcional), luego haga clic en Iniciar.

A medida que avanza el escaneo, DirBuster mostrará los directorios y archivos descubiertos en la interfaz. Puede ver el estado de cada solicitud (por ejemplo, 200 OK, 404 Not Found) y la ruta de los elementos descubiertos. También puede guardar los resultados del escaneo en un archivo para su posterior análisis. Esto ayudaría a documentar sus hallazgos.

DirBuster viene instalado en Kali Linux, pero puede fácilmente instalar DirBuster en Ubuntu.

3. Gobuster

Gobuster es una herramienta de línea de comandos escrita en Go que se utiliza para aplicar fuerza bruta a directorios y archivos en sitios web, depósitos abiertos de Amazon S3, subdominios DNS, nombres de host virtual en servidores web de destino, servidores TFTP, etc.

Para instalar Gobuster en distribuciones Debian de Linux como Kali, ejecute:

 sudo apt install gobuster

Para la familia RHEL de distribuciones de Linux, ejecute;

 sudo dnf install gobuster

En Arch Linux, ejecute:

 yay -S gobuster

Alternativamente, si tiene Go instalado, ejecute:

 go install github.com/OJ/gobuster/v3@latest

Cómo usar Gobuster

La sintaxis para usar Gobuster en directorios de fuerza bruta en aplicaciones web es:

 gobuster dir -u [url] -w [path to wordlist]

Por ejemplo, si desea aplicar fuerza bruta a los directorios en https://example.com, el comando se vería así:

 gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. puf

ffuf es un fuzzer web muy rápido y una herramienta de fuerza bruta de directorios escrita en Go. Es muy versátil y particularmente conocido por su velocidad y facilidad de uso.

  Cómo utilizar NitroShare en Linux

Dado que ffuf está escrito en Go, debe tener Go 1.16 o superior instalado en su PC con Linux. Comprueba tu versión de Go con este comando:

 go version

Para instalar ffuf, ejecute este comando:

 go install github.com/ffuf/ffuf/v2@latest

O puede clonar el repositorio de github y compilarlo usando este comando:

 git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build

Cómo usar ffuf para directorios de fuerza bruta

La sintaxis básica para la fuerza bruta de directorios con ffuf es:

 ffuf -u [URL/FUZZ] -w [path to wordlist]

Por ejemplo, para escanear https://example.com, el comando sería:

 ffuf -u https://example.com/FUZZ -w wordlist.txt

5. búsqueda

dirsearch es otra herramienta de línea de comandos de fuerza bruta que se utiliza para enumerar directorios en una aplicación web. Es particularmente apreciado por su salida colorida a pesar de ser una aplicación basada en terminal.

Puede instalar dirsearch a través de pip ejecutando:

 pip install dirsearch

O bien, puede clonar el repositorio de GitHub ejecutando:

 git clone https://github.com/maurosoria/dirsearch.git --depth 1

Cómo usar dirsearch para directorios de fuerza bruta

La sintaxis básica para usar dirsearch en directorios de fuerza bruta es:

 dirsearch -u [URL]

Para directorios de fuerza bruta en https://example.com, todo lo que necesita hacer es:

 dirsearch -u https://example.com

No hay duda de que estas herramientas le ahorrarán mucho tiempo que habría pasado manualmente tratando de adivinar estos directorios. En ciberseguridad, el tiempo es un gran activo, es por eso que todo profesional aprovecha las herramientas de código abierto para optimizar sus procesos diarios.

Hay miles de herramientas gratuitas, especialmente en Linux, para que su trabajo sea más eficiente, ¡todo lo que necesita hacer es explorar y elegir lo que funciona para usted!

Related posts:

  1. Cómo solucionar problemas de teclado y mouse Corsair en macOS y Linux
  2. Linux 5.0 «Shy Crocodile» llega con el cifrado Adiantum de Google
  3. Cómo realizar una tarea cuando se agrega un archivo nuevo a un directorio en Linux
  4. Cómo eliminar archivos y directorios en la terminal de Linux