DIRB
Dirb (Domain Brute-Force Tool) es una herramienta de fuerza bruta para el descubrimiento de directorios y ficheros activos en un sitio web.
Funciona mediante un ataque basado en diccionario contra un servidor web y analizando las respuestas devueltas por este.
Mostremos una prueba de uso:
Tenemos un MV Metasploitable con un servidor web. Para descubrir su dirección IP ejecutaremos netdiscover:
Una vez ejecutado veremos que la siguiente dirección IP corresponde con la MV Metasploitable:
Si abrimos un navegador web e introducimos la dirección IP accederemos a su página web:
Ahora copiaremos la URL y ejecutamos dirb:
dirb "Dirección URL"
Si nos fijamos en WORDLIST_FILES no esta mostrando que diccionario estamos usando para el descubrimiento de los directorios y ficheros. Poco a poco dirb nos ira mostrando el resultado:
De esta manera ya sabemos los directorios y existentes en dicha página web.
Podemos cambiar el diccionario que usara dirb. Si nos vamos al siguiente directorio podemos ver los diccionarios disponible en Kali Linux:
Por ejemplo podemos usar el diccionario big.txt. Para ello ejecutamos dirb de la siguiente manera:
dirb URL "Ruta de diccionario"
Y nos mostrara los directorios y ficheros encontrados:
GOBUSTER
Es otra herramienta de fuerza bruta para el descubrimiento de directorios y ficheros activos de los sitios webs.
El uso de la herramienta es similar a Dirb:
gobuster dir -w "Diccionario de directorios" --url "Dirección URL"
Y nos mostrara un resultado similar con Dirb pero mejor estructurado:
No hay comentarios:
Publicar un comentario