Gobuster

Gobuster

Gobuster es una herramienta de línea de comandos diseñada para la enumeración de recursos en aplicaciones web mediante la fuerza bruta. Su propósito principal es descubrir directorios y archivos ocultos en un sitio web, lo que puede ser útil durante las pruebas de penetración o auditorías de seguridad.

Características y conceptos básicos

A continuación, se presentan algunas características clave y conceptos básicos sobre Gobuster:

  1. Enumeración de Directorios:

    • Gobuster realiza ataques de fuerza bruta para descubrir nombres de directorios y archivos en una URL objetivo.

    • Utiliza una lista de palabras (wordlist) que contiene posibles nombres de directorios y archivos.

  2. Extensiones de Archivos:

    • Puedes especificar extensiones de archivos para buscar archivos con extensiones específicas durante la enumeración.

  3. Códigos de Respuesta HTTP:

    • Permite filtrar resultados en función de los códigos de respuesta HTTP, ayudando a identificar recursos válidos.

  4. Autenticación HTTP Básica:

    • Gobuster puede trabajar con autenticación HTTP básica, permitiéndote proporcionar credenciales de usuario y contraseña.

  5. Modos Específicos:

    • Además de la enumeración de directorios, Gobuster tiene modos específicos como Vhost y DNS para la enumeración de subdominios.

  6. Configuración de Tiempo de Espera:

    • Permite establecer un tiempo máximo de espera para las respuestas del servidor, lo que puede ser útil para controlar la velocidad de las solicitudes.

En resumen, Gobuster es una herramienta versátil que ayuda en la identificación de recursos ocultos en aplicaciones web. Es importante utilizarla con responsabilidad y solo en entornos donde tengas permiso para realizar pruebas de seguridad.

Cheatsheet

Aquí tienes un cheatsheet de Gobuster con algunos comandos comunes:

Enumeración de Directorios:

gobuster dir -u http://example.com -w /path/to/wordlist.txt

  • -u: URL del sitio web.

  • -w: Ruta de la lista de palabras.

Especificar Extensiones de Archivos:

gobuster dir -u http://example.com -w /path/to/wordlist.txt -x php,html

  • -x: Extensiones de archivos separadas por comas.

Filtrar por Códigos de Respuesta HTTP:

gobuster dir -u http://example.com -w /path/to/wordlist.txt -s 200,204,301

  • -s: Códigos de respuesta HTTP que deseas incluir.

Autenticación HTTP Básica:

gobuster dir -u http://example.com -w /path/to/wordlist.txt -U usuario -P contraseña

  • -U: Nombre de usuario.

  • -P: Contraseña.

Establecer un Tiempo de Espera (Timeout):

gobuster dir -u http://example.com -w /path/to/wordlist.txt -t 30

  • -t: Tiempo máximo de espera para la respuesta del servidor.

Modo Vhost (Enumeración de Subdominios):

gobuster vhost -u http://example.com -w /path/to/subdomains.txt

  • -w: Lista de subdominios.

Modo DNS (Enumeración de Subdominios mediante resolución DNS):

gobuster dns -d example.com -w /path/to/subdomains.txt

  • -d: Dominio principal.

  • -w: Lista de subdominios.

Recuerda adaptar estos comandos según tus necesidades específicas y el escenario en el que estés trabajando. ¡Espero que encuentres útil este pequeño cheetsheet de Gobuster!

Last updated