COMO HACER FUZZING??

Hacer fuzzzing es una de las técnicas más entretenidas que puedes hacer a la hora de descubrir archivos o carpetas secretas en un dominio o IP. Hay varias herramientas especificas para realizar fuzzing, pero en esta ocasión te mostraré una que descubrí recientemente y que creo es una de las mejores que he usado a lo largo de mi trayecto. La herramienta se llama feroxbuster, y es una de las más rápidas y con características que las demás no tienen (como el hecho de poder buscar a través de las carpetas que va encontrando, otro fuzzeo más dentro de ellas con el mismo diccionario y a una velocidad FEROZ...). Vamos a instalar esta herramienta para que la vayan probando.

Recuerden siempre actualizar el sistema antes de cualquier instalación o uso de herramientas
sudo apt update && sudo apt upgrade -y

Después, instalan la herramienta con el siguiente comando:
sudo apt install feroxbuster

En este caso realicé una búsqueda con distintos diccionarios, cada uno de ellos arrojando resultados distintos: como la aparición de carpetas ocultas y archivos de scripts ocultos. La mayor parte de estos recursos encontrados aparecen con estado 200 (que significa que se pueden acceder), los que están en con estado 403, significa que están ahí, pero que no se pueden acceder porque están con "acceso prohibido" (a menos de que se apliquen técnicas específicas para bypassear estos estados e ingresar de igual manera a esos recursos).

De esta manera uno puede hacer un mapa mental del sitio con todos los datos recopilados y ver la vía de acceso para entrar desde una puerta trasera al sitio.