# Fuzzing
{% hint style="danger" %}
**Nota:** Este tipo de búsquedas son muy invasivas, ya que hacen muchas peticiones al servidor del objetivo, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo
{% endhint %}
## Seclists
{% embed url="" %}
Las seclists son colecciones de listas de palabras clave que se utilizan con herramientas de enumeración y fuzzing, como Nmap, Dirb, Gobuster, ffuf, etc., para descubrir vulnerabilidades en sistemas y aplicaciones. Vienen instaladas por defecto en Kali linux.
### Instalación
```bash
sudo apt install seclists -y
```
```bash
cd /usr/share/seclists
```
## Crear un diccionario de números
```bash
afsh4ck@kali$ for i in $(seq 1 1000); do echo $i >> ids.txt; done
```
```bash
cat ids.txt
1
2
3
# <-- SNIP -->
999
1000
```
## Dirsearch
{% embed url="" %}
Su principal función es realizar búsquedas y enumeraciones en servidores web en busca de directorios y archivos ocultos o sensibles que podrían representar una posible vulnerabilidad de seguridad. Estos directorios y archivos a menudo contienen información confidencial o son puntos de entrada potenciales para atacantes.
{% code title="Instalación y uso" %}
```bash
sudo apt-get install dirsearch
dirsearch -u http://target.com
dirsearch -u http://target.com -x 404,403,302 # Excluir páginas con status negativo
```
{% endcode %}
Dirsearch
Lo veremos más en detalle en la sección:
{% content-ref url="/pages/ssWzJQImYDA2caGm23aV" %}
[Dirsearch](/ethical-hacking-cheatsheet/recopilacion-de-informacion/fuzzing/dirsearch.md)
{% endcontent-ref %}
## Radamsa (Fuzzing para DdoS)
{% embed url="" %}
Radamsa es una herramienta de generación de mutaciones de entradas utilizada para pruebas de penetración y pruebas de seguridad. Esta herramienta es de código abierto y se utiliza para generar entradas aleatorias y mutadas para aplicaciones y sistemas de software.
#### Empleo
{% code overflow="wrap" %}
```bash
cd /radamsa/bin
echo “hola” > texto.txt
ffuf -request /home/kali/Escritorio/request-bwap --input-cmd 'radamsa texto.txt' -input-num 10000000000
```
{% endcode %}
## Dirbuster
DirBuster es una herramienta de código abierto utilizada para realizar pruebas de penetración en aplicaciones web. La herramienta está escrita en Java y se ejecuta en sistemas operativos Linux, Unix y Windows.
DirBuster se usa para encontrar y enumerar los directorios y archivos ocultos en una aplicación web. La herramienta utiliza una lista de directorios y archivos comunes para realizar estas pruebas.
{% hint style="danger" %}
Técnica de reconocimiento activo, no utilizar sin autorización del objetivo.
{% endhint %}
```bash
dirbuster -u TARGET
```
* En la GUI seleccionar la wordlist a utilizar
### A continuación veremos algunas de las técnicas y herramientas más utilizadas para fuzzing:
{% content-ref url="/pages/ssAmyHO0V9t3GsljYTTG" %}
[Crawling](/ethical-hacking-cheatsheet/recopilacion-de-informacion/crawling.md)
{% endcontent-ref %}
{% content-ref url="/pages/BCt1x9j4Sf2NG3MCMhZJ" %}
[Gobuster](/ethical-hacking-cheatsheet/recopilacion-de-informacion/fuzzing/gobuster.md)
{% endcontent-ref %}
{% content-ref url="/pages/27SGdsmGYGBRQvxKhO4z" %}
[Ffuf](/ethical-hacking-cheatsheet/recopilacion-de-informacion/fuzzing/ffuf.md)
{% endcontent-ref %}
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://afsh4ck.gitbook.io/ethical-hacking-cheatsheet/recopilacion-de-informacion/fuzzing.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.