GooFuzz: Herramienta Para Enumeración De Directorios Y Archivos De Forma Pasiva

El principal motivo de la creación de GooFuzz es obtener archivos y directorios de un servidor web, de una forma fácil y rápida de "fuzzear" sin dejar evidencias en registros (logs) del servidor web y mediante técnicas de búsqueda avanzadas en Google.

GooFuzz está escrita en Bash y solo requiere de una terminal con acceso a Internet para funcionar. La ejecución de la herramienta es muy simple, ya que solo se necesita introducir un objetivo (URL/IP) y aquellas extensiones, nombres de archivos, carpetas o parámetros que deseemos encontrar, ya sea mediante un diccionario o por la terminal separándolos por comas.

Ahora, vamos a ver a GooFuzz en acción. Se puede enumerar aquellos archivos ofimáticos con extensión ".PDF" y archivos de respaldo (backups) con extensiones ".BAK" y ".OLD".

También podría darse el caso de que se requiera un mayor número de extensiones a buscar, por lo que se podría volver a reutilizar el mismo comando, pero esta vez pasándole la ruta de un fichero (wordlist).

Además, también es posible que solo necesitemos enumerar aquellos archivos PDF que pertenezcan solo a un dominio principal o a un subdominio en cuestión.

Por otro lado, GooFuzz también se puede utilizar como una herramienta de fuzzing, aprovechando técnicas avanzadas de Google Dorks y evitando dejar rastro en el servidor web. 

Como podemos apreciar, este tipo de enumeración es muchísimo más ágil (y silencioso, claro), ya que conseguimos enumerar la ruta completa hacia un directorio en cuestión o incluso, enumerar archivos, directorios y parámetros en una sola ejecución, consiguiendo más resultados con menos peticiones.

Del mismo modo que vimos en la enumeración de archivos por extensiones, también podemos utilizar el mismo parámetro para identificar aquellos directorios, palabras o archivos web separados por comas y sin necesidad de generar un diccionario.

Todo esto son pequeños ejemplos para conocer el funcionamiento básico de la herramienta, mencionar que se irán añadiendo mejoras y nuevas funcionalidades, por lo que, si te gusta la herramienta y quieres colaborar proponiendo nuevas funcionalidades o reportando errores, ¡Siempre serás [email protected]!

Fuente: HackPlayers


Via: blog.segu-info.com.ar
GooFuzz: Herramienta Para Enumeración De Directorios Y Archivos De Forma Pasiva GooFuzz: Herramienta Para Enumeración De Directorios Y Archivos De Forma Pasiva Reviewed by Zion3R on 19:26 Rating: 5