Esta nueva entrada de BurpSuite es para mostrarles el uso de un nuevo plugin como lo dice el titulo y es el de usar Dirbuster, dentro de nuestra herramienta favorita (mi herramienta favorita) para análisis web.
Como es costumbre cada mes o cada semana según el tiempo que dispongo para la realización de retos de Vulnhub o algun CTF, y si es web siempre trato de hacer uso de BurpSuite, por lo cual revisando algunos plugins y contenido me recorde de la integración de Dirbuster con Burpsuite por lo cual en esta entrada veremos dicha configuración y su uso.
Instalación de Burp-Dirbuster
El plugín se llama Burp-Dirbuster por lo consiguiente tenemos que acceder al repositorio en Github y realizar la descarga respectiva, una vez lo tenemos solo basta realizar la instalación del mismo, el proceso de instalación se explica en la entrada BurpSuite XXV - Configuración de Plugins en BurpSuite en la siguiente captura, se tiene el proceso de configuración del mismo.
Una vez termina y si no tenemos ningun problema respecto a la versión de JAVA o requerimientos adicionales tendremos el siguiente resultado.
Configuración de Burp-Dirbuster
El siguiente paso es, configurar y conocer las opciones que tenemos en el plugin de Dirbuster asi que pasamos a comentar cada uno de ellos.
- El primer campo es el host el objetivo a analizar en este caso puede ser una IP o en su defecto una dirección URL, siempre anteponiendo el protocolo si es HTTP o HTTPS.
- Browse: Es el directorio donde se tiene los wordlist, casi siempre o la mayoria de las veces prefiero hacer uso de los que tiene por defecto Dirb o Dirbuster que estan en /usr/share/(dirb/dirbuster)/wordlist.
- Brute Extension: En este campo lo que tenemos a disposición es agregar la extensión a ser revisada, analizada siendo esta .bak, .html, .asp, según la necesidad de la prueba.
Ejecución de Burp-Dirbuster
Ahora para la ejecución del mismo, una vez registramos todos los valores se procede a realizar la ejecución en el boton Start, el mismo procedera a realizar el barrido desde el directorio que nosotros determinamos y como ven en la siguiente captura nos brinda la información respectiva en el status code, teniendo estos valores como referencia para determinar si el mismo esta o no disponible.
Para conocer a mas detalle los Status Code pueden verlo en el siguiente enlace: Lista de Status Code HTTP
Como veran, al hacer uso del plugin desde BurpSuite nos permite enfocarnos en una sola herramienta, interactuando desde ella con Dirbuster, pero aquí no termina el uso de la herramienta ya que al ejecutar el plugin a la par se hace el crawling, permitiendo de esta manera descubrir nuevos directorios y acelar el proceso del mismo, a continuación se tiene las capturas respectivas del Spider que trabajo a la par y tambien los directorios identificados.
Espero sigan la serie de entradas que cada vez se alarga más y es una de las serie que mas me gusta realizar y ver como va creciendo es una alegria enorme.
“Sé tú mismo el cambio que deseas ver en el mundo.” - Mahatma Gandhi
Regards,
Snifer