Las aplicaciones web son un objetivo común para los atacantes, lo que hace que la identificación y mitigación de vulnerabilidades sea esencial. En este post quiero documentar bajo mi punto de vista, qué es Wfuzz y cómo usarla para hacer pruebas de pentesting.
Estructura del contenido
¿Qué es Wfuzz?
Wfuzz es una herramienta de pentesting de código abierto que te permite identificar posibles vulnerabilidades mediante ataques de fuerza bruta y fuzzing a través de diccionarios predefinidos en Kali y así descubrir directorios ocultos, archivos, subdominios, etc.
Cómo usar WFUZZ
Encontrar Directorios Ocultos
Para poder ejecutar wfuzz y tratar de encontrar directorios ocultos, tendríamos que aplicar el siguiente comando para invocarlo y seguido de una serie de parámetros (los puedes encontrar en el manual «man wfuzz»):
wfuzz -c --hc 404 -t 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u IP_Víctima/FUZZ
Es importante incluir la palabra reservada FUZZ como directorio dentro de la IP que declaremos para indicarle que queremos encontrar directorios internos.
-c = colour para que salga el output en colores (visualmente queda más claro)
–hc = hide code para ocultar códigos de estado que devuelvan por ejemplo un 404 (not found)
-t = son los threats o hilos para configurar la potencia del escaneo (ej. 200)
-w = para indicarle el wordlists o diccionario/s disponible por defecto. El wordlist que más se suele usar es el de *medium.txt que tiene más de 220K combinaciones de palabras.
-u = y le indicamos la url o IP víctima
Encontrar Subdominios Ocultos
Si por otro lado, lo que te interesa es encontrar subdominios ocultos mediante Virtual hosting, tendrías que aplicar el siguiente comando:
wfuzz -c --hc 404 -t 200 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u URL -H "Host: FUZZ.url"
-H = para indicarle el host o dominio del sitio web y la palabra reservada FUZZ por delante para encontrar subdominios.
*Si quieres ocultar resultados que tengan el mismo número de líneas, sería:
wfuzz -c --hc 404 -t 200 --hl 546 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -u URL -H "Host: FUZZ.url"
–hl = hide lines para ocultar las líneas que contengan ese número
Una vez la herramienta te encuentra un resultado, lo que tendrías que hacer sería añadir ese subdominio en el fichero etc/hosts y probar que en el navegador te da un contenido diferente, de tal forma que se estaría aplicando un virtual hosting.
GOBUSTER
Gobuster es otra herramienta que te permiten hacer esa búsqueda de directorios usando diccionarios por defecto de Kali «wordlists».
Un comando para hacer esa ejecución sería:
gobuster dir -u IP_Víctima -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt -o prueba.txt