Fuerza Bruta contra Directorios utilizando Wfuzz

  • Posted on: 3 August 2020
  • By: ReYDeS

Wfuzz ha sido creado para facilitar la tarea en las evaluaciones contra aplicaciones web, y está basado en un concepto simple; reemplaza cualquier referencia a la palabra clave FUZZ, por el valor del payload (carga útil) definido.

Un payload en Wfuzz es una fuente de datos.

Este concepto simple permite cualquier entrada sea inyectada en cualquier campo de una petición HTTP, permitiendo realizar ataques complejos de seguridad web en diferentes componentes de la aplicación web, como parámetros, formularios, directorios/archivos, cabeceras, etc.

Wfuzz es más a únicamente un escáner de contenido web:

  • Wfuzz podría ayudar a asegurar las aplicaciones web, encontrando y explotando vulnerabilidades en la aplicación web. El escáner de vulnerabilidades de aplicación web de Wfuzz es soportado por plugins.
  • Wfuzz es un framework completamente modular, lo cual facilita para incluso los novatos en desarrollo con Python contribuir. Construir plugins es simple, y toma poco más de algunos minutos.
  • Wfuzz expone una interfaz simple de lenguaje hacia peticiones y respuestas HTTP previas, realizadas utilizando Wfuzz u otras herramientas como Burp. Esto permite realizar pruebas manuales o semiautomáticas con el contexto completo, y entendiendo las acciones, sin depender del escáner de aplicación web subyacente a la implementación.

Wfuzz fue creado para facilitar la tarea en las evaluaciones de aplicaciones web. Es una herramienta de profesionales en pruebas de penetración, para profesionales en pruebas de penetración.

La opción “-h” presenta la ayuda de la herramienta Wfuzz.

# wfuzz -h

Wfuzz puede ser utilizado para buscar contenido oculto, como archivos y directorios dentro de un servidor web, permitiendo encontrar vectores de ataque. El éxito o no de esta tarea depende altamente de los diccionarios utilizados.

La siguiente demostración se realiza utilizando la aplicación web de nombre “XVWA”. Se ejecuta Wfuzz para encontrar directorios dentro de la aplicación web “XVWA”.

La opción “-w” define el archivo conteniendo la lista de palabras. (es una alias para -z file,wordlist). La opción “--hc”, oculta las respuestas con un código 404. Es decir “Archivo no encontrado”.

# wfuzz -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt –hc 404 http:// 192.168. 0.66 /xvwa/FUZZ

Los resultados muestran 17 payloads encontrados. Mostrándose respuestas diferentes al código 404, como 200, 301 y 302. Todos estos resultados deben ser verificados manualmente, y así evitar los falsos positivos.

Adicionalmente se muestra el número de peticiones realizadas, el tiempo total de procesamiento, el número de peticiones procesadas, el número de peticiones filtradas, y el número de peticiones por segundo.

Fuentes:

https://github.com/xmendez/wfuzz
https://wfuzz.readthedocs.io/en/latest/
https://github.com/s4n7h0/xvwa

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor en Hacking Ético, Forense Digital & GNU/Linux
Correo Electrónico: ReYDeS@gmail.com
Twitter: @Alonso_ReYDeS
LinkedIn: pe.linkedin.com/in/alonsocaballeroquezada
Facebook: https://www.facebook.com/alonsoreydes
Youtube: http://www.youtube.com/c/AlonsoCaballero
Resumen de mi CV: http://www.reydes.com/d/?q=node/1