miércoles, 13 de julio de 2016

Buscando el panel de control (III - III)

Ya vimos en las dos anteriores partes de ester artículo como podemos buscar el panel de administración de una web de distintas formas. Por ejemplo con el uso de scripts o con la ayuda de los operadores lógicos de Google. Hoy vamos hacer un repaso de los diferentes escáners de directorios que podemos utilizar para realizar dicha tarea. Para terminar también veremos algunos programas que nos pueden ser de bastante utilidad.


Imagen 1: Buscando el panel de control (III-III)

En principio vamos a empezar con un ejemplo del uso básico de Dirbuster  pero antes de nada decir que en Kali también tenemos otros escáners muy buenos como son WebSPloit o Wfuzz, y que  podemos utilizar en vez de Dirbuster, ya que su finalidad es prácticamente la misma.

Dirbuster es una aplicación Java multi hilo diseñada para obtener por fuerza bruta los nombres de directorios y archivos en servidores Web/de aplicación. A menudo ocurre que lo que ahora parece un servidor Web en una fase de instalación por omisión no lo es, y tiene paginas y aplicaciones ocultas. DirBuster trata de encontrar estos. Podemos ejecutar su entorno gráfico de la siguiente manera:


Imagen 2: ejecución del entorno gráfico de Dirbuster

Imagen 3: configuración de Dirbuster

Como se puede ver en la imagen superior, podemos configurar diferentes parámetros para distintos fines, nosotros hemos seleccionado el target y el método de trabajo, también hemos seleccionado la casilla de "Go Faster" para disminuir el tiempo que tardará en realizar el análisis. Luego hemos seleccionado el diccionario que utilizará para buscar los directorios (podemos utilizar los que trae Dirbuster por defecto, la ruta en Kali sería: /usr/share/dirbuster/wordlists).

Para finalizar seleccionamos opciones de inicio "standard", la opción "Dir to start with" solo la seleccionaremos si la página que buscamos se encuentra alojada en una ruta que esté fuera de la raíz de la web. Y las últimas opciones que quedan son todas opcionales, podemos realizar fuerza bruta sobre directorios y archivos, agregar más extensiones etc...

Por último y para terminar, si no hemos tenido suerte con ninguna de las maneras que hemos ido viendo en estos  tres artículos, también podemos hacer uso de los siguientes programas para realizar una búsqueda automatizada del panel de administración de cualquier web. Simplemente los tenemos que lanzar, y configurar los parámetros que nos ofrecen:

HavijDW Admin and Login FinderAdmin Path FinderC#] PanelFinder 0.3 


Otra opción es visitar los siguientes servicios online:


Descargas: DirbusterWebSPloitWfuzz

Fuente: Blackophn-Team

No hay comentarios:

Publicar un comentario