Las 5 mejores herramientas de Linux para la explosión de directorios

¿Busca herramientas de uso gratuito para enumerar directorios y archivos ocultos en un servidor web? Aquí están las mejores herramientas de Linux para la explosión de directorios.

Conclusiones clave

La explosión de directorios es una técnica esencial en la piratería ética para descubrir directorios y archivos ocultos en un servidor web o aplicación.
Linux ofrece varias herramientas para la explosión de directorios, como DIRB, DirBuster, Gobuster, ffuf y dirsearch.
Estas herramientas automatizan el proceso de enviar solicitudes HTTP a un servidor web y adivinar los nombres de los directorios para encontrar recursos que no se anuncian en la navegación o el mapa del sitio del sitio web.

En la etapa de reconocimiento de cada pentest de aplicación web, es fundamental encontrar posibles directorios en la aplicación. Estos directorios pueden contener información y hallazgos significativos que lo ayudarían enormemente a encontrar vulnerabilidades en la aplicación y mejorar su seguridad.

Afortunadamente, existen herramientas en Internet que hacen que la fuerza bruta de directorios sea más fácil, automatizada y rápida. Aquí hay cinco herramientas de explosión de directorios en Linux para enumerar directorios ocultos en una aplicación web.

instagram viewer

¿Qué es la explosión de directorios?

Explosión de directorio, también conocido como "fuerza bruta de directorios", es una técnica utilizada en la piratería ética para descubrir directorios y archivos ocultos en un servidor web o aplicación. Implica intentar acceder sistemáticamente a diferentes directorios adivinando sus nombres o enumerando a través de una lista de directorios comunes y nombres de archivos.

El proceso de ráfaga de directorios suele implicar el uso de herramientas o secuencias de comandos automatizadas que envían solicitudes HTTP a un servidor web, intentando diferentes directorios y nombres de archivo para encontrar recursos que no están explícitamente vinculados o anunciados en la navegación del sitio web o mapa del sitio

Hay cientos de herramientas gratuitas disponibles en Internet para llevar a cabo la explosión de directorios. Aquí hay algunas herramientas gratuitas que puede usar en su próxima prueba de penetración:

1. DIRB

DIRB es una popular herramienta de línea de comandos de Linux que se utiliza para escanear y forzar directorios en aplicaciones web. Enumera posibles directorios de una lista de palabras contra la URL de un sitio web.

DIRB ya viene instalado en Kali Linux. Sin embargo, si no lo tienes instalado, no hay de qué preocuparse. Solo necesita un comando simple para instalarlo.

Para distribuciones basadas en Debian, ejecute:

sudo apt install dirb

Para distribuciones de Linux que no sean Debian como Fedora y CentOS, ejecute:

sudo dnf install dirb

En Arch Linux, ejecute:

yay -S dirb

Cómo usar DIRB para directorios de fuerza bruta

La sintaxis para realizar fuerza bruta de directorios en una aplicación web es:

dirb [url] [path to wordlist]

Por ejemplo, si fueras a la fuerza bruta https://example.com, este seria el comando:

dirb https://example.com wordlist.txt

También puede ejecutar el comando sin especificar una lista de palabras. DIRB usaría su archivo de lista de palabras predeterminado, común.txt, para escanear el sitio web.

dirb https://example.com

2. DirBuster

DirBuster es muy similar a DIRB. La principal diferencia es que DirBuster tiene una interfaz gráfica de usuario (GUI) a diferencia de DIRB, que es una herramienta de línea de comandos. DIRB te permite configurar los escaneos de fuerza bruta del directorio a tu gusto y filtrar los resultados por código de estado y otros parámetros interesantes.

También puede establecer la cantidad de subprocesos que determinan la velocidad a la que desea que se ejecuten los análisis y las extensiones de archivo específicas que desea que la aplicación busque por usted.

Todo lo que necesita hacer es ingresar la URL de destino que desea escanear, la lista de palabras que desea usar, las extensiones de archivo y la cantidad de hilos (opcional), luego haga clic en Comenzar.

A medida que avanza el escaneo, DirBuster mostrará los directorios y archivos descubiertos en la interfaz. Puede ver el estado de cada solicitud (por ejemplo, 200 OK, 404 Not Found) y la ruta de los elementos descubiertos. También puede guardar los resultados del escaneo en un archivo para su posterior análisis. Esto ayudaría a documentar sus hallazgos.

DirBuster viene instalado en Kali Linux, pero puede fácilmente instalar DirBuster en Ubuntu.

3. Gobuster

Gobuster es una herramienta de línea de comandos escrita en Go que se utiliza para aplicar fuerza bruta a directorios y archivos en sitios web, depósitos abiertos de Amazon S3, subdominios DNS, nombres de host virtual en servidores web de destino, servidores TFTP, etc.

Para instalar Gobuster en distribuciones Debian de Linux como Kali, ejecute:

sudo apt install gobuster

Para la familia RHEL de distribuciones de Linux, ejecute;

sudo dnf install gobuster

En Arch Linux, ejecute:

yay -S gobuster

Alternativamente, si tiene Go instalado, ejecute:

go install github.com/OJ/gobuster/v3@latest

Cómo usar Gobuster

La sintaxis para usar Gobuster en directorios de fuerza bruta en aplicaciones web es:

gobuster dir -u [url] -w [path to wordlist]

Por ejemplo, si desea aplicar fuerza bruta a los directorios en https://example.com, el comando se vería así:

gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt

4. ffuf

ffuf es un fuzzer web muy rápido y una herramienta de fuerza bruta de directorios escrita en Go. Es muy versátil y particularmente conocido por su velocidad y facilidad de uso.

Dado que ffuf está escrito en Go, debe tener Go 1.16 o superior instalado en su PC con Linux. Comprueba tu versión de Go con este comando:

go version

Para instalar ffuf, ejecute este comando:

go install github.com/ffuf/ffuf/v2@latest

O puede clonar el repositorio de github y compilarlo usando este comando:

git clone https://github.com/ffuf/ffuf; cd ffuf; go get; go build

Cómo usar ffuf para directorios de fuerza bruta

La sintaxis básica para la fuerza bruta de directorios con ffuf es:

ffuf -u [URL/FUZZ] -w [path to wordlist]

Por ejemplo, para escanear https://example.com, el comando seria:

ffuf -u https://example.com/FUZZ -w wordlist.txt

5. búsqueda directa

dirsearch es otra herramienta de línea de comandos de fuerza bruta que se utiliza para enumerar directorios en una aplicación web. Es particularmente apreciado por su salida colorida a pesar de ser una aplicación basada en terminal.

Puede instalar dirsearch a través de pip ejecutando:

pip install dirsearch

O bien, puede clonar el repositorio de GitHub ejecutando:

git clone https://github.com/maurosoria/dirsearch.git --depth 1

Cómo usar dirsearch para directorios de fuerza bruta

La sintaxis básica para usar dirsearch en directorios de fuerza bruta es:

dirsearch -u [URL]

Para directorios de fuerza bruta en https://example.com, todo lo que necesitas hacer es:

dirsearch -u https://example.com

No hay duda de que estas herramientas le ahorrarán mucho tiempo que habría pasado manualmente tratando de adivinar estos directorios. En ciberseguridad, el tiempo es un gran activo, es por eso que todo profesional aprovecha las herramientas de código abierto para optimizar sus procesos diarios.

Hay miles de herramientas gratuitas, especialmente en Linux, para que su trabajo sea más eficiente, ¡todo lo que necesita hacer es explorar y elegir lo que funciona para usted!

About Technology - denizatm.com