Búsqueda de directorios y ficheros con Gobuster

Búsqueda de directorios y ficheros con Gobuster

Gobuster es una herramienta muy práctica que permite identificar contenido como directorios o ficheros que pudiesen estar accesibles u ocultos en un sitio web, este lo hará a través de un diccionario y fuerza bruta, esto es bueno cuando estas creando un sitio web y quieres enumerar los directorios y ficheros, lo más recomendable es que si no tienes permisos en una aplicación web, no lo uses en ese sitio.

Esta herramienta no viene preinstalada en Kali por defecto así que hay que instalarlo, para ello usa:

apt install gobuster

Una vez instalado puedes consultar la ayuda de gobuster con el comando:

 gobuster -h

Te enseñare la sintaxis más sencilla, es así:

gobuster (modo) –url (url) –wordlist (diccionario)

Un ejemplo podría ser este:

En el directorio /usr/share/wordlist tendrás a tu disposición muchas listas de palabras, en concreto en los directorios dirb y dirbuster tendrás listas de palabras para usar con esta herramienta también hay en el directorio /usr/share/dirbuster/wordlist.

Ahora, hagamos un ejemplo contra el servicio web que viene instalado en metasploitable 2, para ello solo hay que seguir la sintaxis anterior:

Y como ves nos ha detectado directorios en la web, igualmente podríamos usar gobuster para buscar directorios dentro de un directorio, por ejemplo, vemos que tenemos el directorio /dav, entonces si queremos buscar directorios dentro de /dav haríamos algo tal que así:

 Si lo que quieres es que se vea de forma más detallada, es decir que no salga solo el directorio/fichero encontrado, sino que salga el dominio o en este caso la ip, puedes usar la opción -e:

También, podemos buscar ficheros, para ello usamos la opción -x (extensiones separadas por comas), la sintaxis podría ser así:

gobuster dir –url <URL> –wordlist <fichero> -x <extensiones>

Un ejemplo sería algo así:

Como ves, ha conseguido varios ficheros con las extensiones que le pedimos, sin embargo fíjate que hay muchos que nos devuelven un 403, un 301 o un 200, el 403 significa que se carece de permisos para poder acceder al directorio/fichero solicitado y el 301 significa que el sí se ha podido comunicar con el servidor pero que el directorio o fichero que se solicita ha sido movido a otra dirección permanentemente y el 200 significa que solicitud ha tenido éxito y podemos acceder tranquilamente al recurso, partiendo de ello, sería mucho más útil solo filtrar para que nos salieran solo los resultados con un 200 que son a los que podemos acceder para seguir inspeccionando la aplicación web, es ahí donde podemos usar la opción -s seguido de, en este caso “200”:

Por otro lado, si lo que quieres es que el “Status” no se muestre, usa la opción “-n”:

Siguiendo con las opciones que nos brinda gobuster, puedes activar el modo verbose con la opción “-v”, para que te muestre en tiempo real lo que está haciendo, (no te lo recomiendo porque si la lista es muy larga , te costará mucho interpretar los resultados) básicamente verías algo así pero a muy alta velocidad):

Finalmente, podemos elegir el user-agent con la opción “-a” seguido del useragent que queramos elegir:

Y esto ha sido una breve introducción a esta herramienta que facilita muchos las auditorías de seguridad en entornos de aplicaciones web.

Posible solución:

Bueno, hablar de una medida que garantice que un ciberdelincuente no pueda ejecutar este herramienta o similares a tu aplicación web sería muy poco probable, lo que sí es que en en este sitio web se habla del tema solo que refieriéndose a la herramienta de dirbuster y bueno lo que dice el usuario pineapplema puede aplicar para el caso de gobuster, dice esto:

Dirbuster funciona analizando los códigos de respuesta HTTP y es por eso que a veces puede predecir la existencia de archivos incluso si no tiene permisos para acceder a ellos. Eso funciona porque a menudo obtendrá una respuesta 403 (prohibida), o algún código de respuesta similar para archivos a los que no tiene permisos de acceso, pero obtendrá un código 404 para archivos que no existen. Eso significa que su aplicación simplemente debe devolver un código 404 para los archivos que no desea que Dirbuster encuentre. La forma exacta en que lo hará depende en gran medida del diseño de su aplicación.

Bien, sabiendo esto, una posible solución para evitar que alguien use gobuster en tu web y descubra todo de todo si es que en la wordlist usada están todos tus directorios y/o ficheros, es lo que propone el usuario antony que dice esto:

Limite el número de solicitudes desde una IP, también puede limitar el número de solicitudes dentro de un intervalo de tiempo.

Y esto puede ayudar mucho, ya que si por ejemplo, limitas a 10 el número de solicitudes cada minuto en tu web, si lanzan gobuster contra tu sitio, este hará muchas solicitudes y obviamente excederá las 10 por ende bloqueará la ip, si usas wordpress hay muchos plugins para ello, así que esa es la solución que te puedo recomendar y claro, restringir los permisos de todos los directorios y/o ficheros que los ajenos a la administración de tu web o necesiten ver.

Sobre el Autor

C0ldd

Founder of Coldd Security

Sponsor By

Coldd Security

REDES SOCIALES

Newsletter

Estadísticas

  • 55.938
  • 43

TheHackerSnow

0

Share This