No tienes acceso a esta clase

¬°Contin√ļa aprendiendo! √önete y comienza a potenciar tu carrera

Aprende Inglés, Programación, AI, Ciberseguridad y más a precio especial.

Antes: $249

Currency
$209
Suscríbete

Termina en:

1 Días
10 Hrs
7 Min
19 Seg

Gobuster

20/28
Recursos

Gobuster es una herramienta que permite llevar a cabo solicitudes a una aplicación web, realiza una enumeración de directorios que no se encuentras visibles o no se encuentran accesible para los usuarios.

Gobuster en Kali Linux

Para saber si est√° instalado Gobuster

gobuster version o gobuster

Actualizar si no esta en su versi√≥n m√°s reciente ūüí°

Instalación de Gobuster

sudo apt-get install gobuster

Sintaxis

gobuster commands -flag

gobuster commands -flag /wordlist domain

Ejemplo

gobuster dir -t 20 -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

Dir

este es el modo para enumerar los directorios del sitio web, los directorios con lo que va despues de la diagonal al terminar el nombre del sitio.

Otra herramienta para la enumeración de directorios

Dirsearch - Web path scanner

Es una herramienta avanzada de l√≠nea de comandos dise√Īada para forzar directorios y archivos en servidores web, tambi√©n conocida como esc√°ner de rutas web

Contribución creada con los aportes de: Angie Espinoza (Platzi Contributor).

Aportes 7

Preguntas 3

Ordenar por:

¬ŅQuieres ver m√°s aportes, preguntas y respuestas de la comunidad?

Corrección, es enumeración de carpetas ocultas, no subdominios. Saludos!

Dir
este es el modo para enumerar los directorios del sitio web, los directorios con lo que va despues de la diagonal al terminar el nombre del sitio.
este se usa iniciando la sentencia:

gobuster dir -u <IP> -w /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

Dir Flags*

  • -c (cookies para usar en el request)
  • -x (Extensiones de archivos a buscar {xml,jpg,png,js,etc})
  • -H (especificamos el Header)
  • -k (saltamos el certificado TLS)
  • -n (Omitimos la impresion de los status)
  • -P (indicamos un password para una autenticacion basica)
  • -s (indicamos los status positivos que queremos)
  • -b (indicamos status negativos)
  • -U (indicamos un usuario para una autenticacion basica)

DNS mode
este modo permite a gobuster hacer brute-force a subdominio, esto es bueno por que no porque algo este arreglado sobre el dominio main, quiere decir que esta arreglado en algun otro dominio.

gobuster dns -d <IP> -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-5000.txt

DNS Flags

  • -c (muestra el CNAME)
  • -i (Muestra las ip)
  • -r (es para usar un custom DNS)

vhost mode
basicamente nos permite hacer brute-force a host virtuales, lo que son diferentes websites en otros entornos, a veces se confunden por subdominios, pero recordemos que estos son basados en IP por lo que se ejecutan en el mismo servidor.

gobuster vhost -u <IP> -w /usr/share/wordlists/SecLists/Discovery/DNS/subdomains-top1million-5000.txt

con el par√°metro -k se puede deshabilitar que revise/valide el certificado

Siempre es necesario conocer el arbol de directorio del S.o que usamos y que atacamos !

![](https://static.platzi.com/media/user_upload/image-3573f4a4-3c51-4afe-936c-847bc9181be5.jpg)

La herramienta ffuf tambi√©n es √ļtil.