Fuzzing con Dirbuster

Fuzzing con Dirbuster

Dirbuster es una de las herramientas para fuzzing más fáciles de usar, ya que, tiene entorno gráfico, yo siempre recomiendo y recomendaré usar siempre que se pueda las herramientas desde la terminal, con esto te acostumbras ya que no siempre vas a poder tener interfaz gráfica para todo, pero en este caso si la usaremos puesto que, ya hemos visto el uso tanto de wfuzz y gobuster desde la terminal y, para iniciantes en el área, puede resultar algo más sencillo hacer uso de dirbuster de forma gráfica que de otras herramientas desde la terminal,

He de decirte que, como siempre, todos los procesos que estamos haciendo se hacen sobre entornos controlado, en este caso sobre la máquina ColddBox: Easy, ya lo he comentado mucho, pero, no me cansaré de decirlo, si se hace algún procedimiento de este tipo sobre un activo del cual no tengas autorización es un delito, teniendo eso en cuenta, sin más comencemos.

Vamos a una terminal y ejecutamos dirbuster, a su vez, redirigimos el stdout al /dev/null y, luego hacemos que el stderr se redirija al stdout y como este último ya está redirigido al /dev/null, ambos estarán redirigidos a este, luego con & lo ponemos en segundo plano y, finalmente luego con disown hacemos que el proceso hijo no depende del padre y así si cerramos la terminal no se cierre la ventana de dirbuster, para ello:

dirbuster > /dev/null 2>&1 &

disown

Ahora, veamos lo que tenemos en la interfaz gráfica de dirbuster:

En el apartado target debemos poner la URL al que le haremos fuzz, también, podemos jugar con los hilos, en el apartado de “Number of Threads” para que sea más rápido el fuzzing, luego, seleccionamos la wordlist que usaremos, también podemos seleccionar que queremos que nos busque por extensiones y escribimos las extensiones que queramos.

Un escaneo básico podría quedar algo así:

Al darle a start empezaría el fuzzing y desde la pestaña result podemos ir viendo lo que encuentra:

Y, de hecho, podemos verlo en forma de árbol desde la siguiente pestaña:

Esto sería un escaneo bastante básico, así que puedes seguir indagando más en esta herramienta, aunque a mi en lo personal, me gusta más gobuster.

 

Posible forma de prevenir que a tu aplicación web le hagan fuzzing:

Esto ya lo hemos tratado tanto en el artículo de WFuzz y Gobuster, ya comentamos las formas que habían de securizar y poner barreras para evitar que alguien haga cosas que no debe, de igual forma las dejo por aquí que, de hecho, estas recomendaciones están hechas directamente hablando de dirbuster:

En este sitio web se habla del tema, ahí, el usuario pineapplema, dice esto:

“Dirbuster funciona analizando los códigos de respuesta HTTP y es por eso que a veces puede predecir la existencia de archivos incluso si no tiene permisos para acceder a ellos. Eso funciona porque a menudo obtendrá una respuesta 403 (prohibida), o algún código de respuesta similar para archivos a los que no tiene permisos de acceso, pero obtendrá un código 404 para archivos que no existen. Eso significa que su aplicación simplemente debe devolver un código 404 para los archivos que no desea que Dirbuster encuentre. La forma exacta en que lo hará depende en gran medida del diseño de su aplicación.”

Bien, sabiendo esto, una posible solución para evitar que alguien haga fuzzing en tu web y descubra todo de todo si es que en la wordlist usada están todos tus directorios y/o ficheros, es lo que propone el usuario antony que dice esto:

“Limite el número de solicitudes desde una IP, también puede limitar el número de solicitudes dentro de un intervalo de tiempo.”

Y esto puede ayudar mucho, ya que si por ejemplo, limitas a 10 el número de solicitudes cada minuto en tu web, si lanzan Dirbuster en este caso, contra tu sitio, este hará muchas solicitudes y obviamente excederá las 10 por ende bloqueará la ip, si usas wordpress hay muchos plugins para ello, así que esa es la solución que te puedo recomendar y claro, restringir los permisos de todos los directorios y/o ficheros que los ajenos a la administración de tu web o necesiten ver.

Anuncio

Sobre el Autor

Martin Frias

Founder of Coldd Security

1 comentario

  1. Andres Peñal

    No esta mal la herramienta pero yo sigo prefiriendo Wfuzz o gobuster, esta la veo muy anticuada (ojo, mi opinión)

    Responder

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Información adicional sobre protección de datos:
Responsable: Martin Frias.
Finalidad: Moderar los comentarios de este sitio web.
Cesión: NO se cederán a nadie, salvo obligación legal.
Derechos: Acceso, rectificación, cancelación y borrado de tus datos.
Legitimación: Tu consentido expreso.

REDES SOCIALES

Newsletter

Estadísticas

  • 106.287
  • 51

TheHackerSnow

0

Share This