🕸️Fuzzing

El fuzzing es una técnica de pentesting que se utiliza para enumerar subdominios, directorios o archivos ocultos en aplicaciones web.

Nota: Este tipo de búsquedas son muy invasivas, ya que hacen muchas peticiones al servidor del objetivo, por lo que no podemos utilizar estas técnicas sin un consentimiento o aprobación por parte del objetivo

Seclists

GitHub - danielmiessler/SecLists: SecLists is the security tester's companion. It's a collection of multiple types of lists used during security assessments, collected in one place. List types include usernames, passwords, URLs, sensitive data patterns, fuzzing payloads, web shells, and many more.GitHub

Las seclists son colecciones de listas de palabras clave que se utilizan con herramientas de enumeración y fuzzing, como Nmap, Dirb, Gobuster, ffuf, etc., para descubrir vulnerabilidades en sistemas y aplicaciones. Vienen instaladas por defecto en Kali linux.

Instalación

sudo apt install seclists -y

cd /usr/share/seclists

Crear un diccionario de números

afsh4ck@kali$ for i in $(seq 1 1000); do echo $i >> ids.txt; done

cat ids.txt
1
2
3
# <-- SNIP -->
999
1000

Dirsearch

GitHub - maurosoria/dirsearch: Web path scannerGitHub

Su principal función es realizar búsquedas y enumeraciones en servidores web en busca de directorios y archivos ocultos o sensibles que podrían representar una posible vulnerabilidad de seguridad. Estos directorios y archivos a menudo contienen información confidencial o son puntos de entrada potenciales para atacantes.

Instalación y uso

sudo apt-get install dirsearch
dirsearch -u http://target.com
dirsearch -u http://target.com -x 404,403,302 # Excluir páginas con status negativo

Dirsearch

Lo veremos más en detalle en la sección:

🕸️Dirsearch

Radamsa (Fuzzing para DdoS)

Aki Helin / radamsa · GitLabGitLab

Radamsa es una herramienta de generación de mutaciones de entradas utilizada para pruebas de penetración y pruebas de seguridad. Esta herramienta es de código abierto y se utiliza para generar entradas aleatorias y mutadas para aplicaciones y sistemas de software.

Empleo

cd /radamsa/bin
echo “hola” > texto.txt
ffuf -request /home/kali/Escritorio/request-bwap --input-cmd 'radamsa texto.txt' -input-num 10000000000

Dirbuster

DirBuster es una herramienta de código abierto utilizada para realizar pruebas de penetración en aplicaciones web. La herramienta está escrita en Java y se ejecuta en sistemas operativos Linux, Unix y Windows.

DirBuster se usa para encontrar y enumerar los directorios y archivos ocultos en una aplicación web. La herramienta utiliza una lista de directorios y archivos comunes para realizar estas pruebas.

Técnica de reconocimiento activo, no utilizar sin autorización del objetivo.

dirbuster -u TARGET

• En la GUI seleccionar la wordlist a utilizar

A continuación veremos algunas de las técnicas y herramientas más utilizadas para fuzzing:

🕸️Crawling🕸️Gobuster🕸️Ffuf