Web Enumeration

Al realizar un análisis de servicios, a menudo nos topamos con servidores web que se ejecutan en los puertos 80 y 443. Los servidores web alojan aplicaciones web (a veces más de una), lo que suele representar una considerable superficie de ataque y un objetivo muy valioso durante una prueba de penetración. Una enumeración web adecuada es fundamental, especialmente cuando una organización no expone muchos servicios o estos cuentan con los parches adecuados.

Gobuster

Tras descubrir una aplicación web, siempre conviene comprobar si podemos descubrir archivos o directorios ocultos en el servidor web que no sean de acceso público. Podemos usar una herramienta como ffuf o GoBuster para realizar esta enumeración de directorios. En ocasiones, encontraremos funcionalidades o páginas o directorios ocultos que expongan datos confidenciales que puedan utilizarse para acceder a la aplicación web o incluso para la ejecución remota de código en el propio servidor web.

Enumeración de directorios/archivos:

GoBuster es una herramienta versátil que permite realizar ataques de fuerza bruta de DNS, vhost y directorios. La herramienta cuenta con funciones adicionales, como la enumeración de buckets públicos de AWS S3. Para este módulo, nos interesan los modos de ataque de fuerza bruta de directorios (y archivos) especificados con el modificador dir.

Para un análisis simple y rápido podemos usar dirb.

dirb http://<host>

Para una enumeración más lenta pero más detallada GoBuster:

gobuster dir -u http://<host>/ -w <diccionario> -x html,php,txt,md,sh,js,zip,git,bak,bk,php.bk,php.bak

Enumeración de subdominios DNS.

gobuster dns -d <dominio> -w <diccionario>

gobuster vhost -u http://<dominio> -w <diccionario> --append-domain

Aspectos extras que hay que tratar de enumerar:

Captura de encabezados del servidor web

curl -IL http://<host>

Otra herramienta útil es EyeWitness , que puede utilizarse para tomar capturas de pantalla de aplicaciones web de destino, identificarlas mediante huellas digitales e identificar posibles credenciales predeterminadas.

Whatweb

Podemos extraer la versión de servidores web, frameworks de soporte y aplicaciones mediante la herramienta de línea de comandos whatweb. Esta información nos ayuda a identificar las tecnologías en uso y a buscar posibles vulnerabilidades.

whatweb http://<host> -v

Certificados

Los certificados SSL/TLS son otra fuente de información potencialmente valiosa si se utiliza HTTPS. Al buscar https://<host>/y visualizar el certificado, se revelan los siguientes detalles, como la dirección de correo electrónico y el nombre de la empresa. Estos podrían utilizarse para realizar un ataque de phishing si se incluye en el alcance de una evaluación.

Robots.txt

Es común que los sitios web contengan un archivo robots.txtcuyo propósito es indicar a los rastreadores web de motores de búsqueda, como Googlebot, qué recursos pueden acceder y cuáles no para su indexación. Este archivo robots.txtpuede proporcionar información valiosa, como la ubicación de archivos privados y páginas de administración. En este caso, observamos que el archivo robots.txt contiene dos entradas no permitidas.

Código Fuente

También vale la pena revisar el código fuente de cualquier página web que encontremos. Podemos hacer clic en [CTRL + U]para abrir la ventana del código fuente en un navegador