Seguridad

Lanzada versión 0.4.0 de Dirhunt

Dirhunt, una herramienta para encontrar directorios de un sitio web sin fuerza bruta, ha lanzado una nueva versión con soporte para el fichero Robots.txt, entre otros cambios




Esta herramienta de reciente creación (enero de este mismo año) se trata de un crawler especializado en la búsqueda y análisis de directorios de un sitio web. En vez de utilizar fuerza bruta, recorre el sitio web (tanto enlaces como carpetas de recursos) para encontrar directorios. En la mayoría de los casos, permite conocer la estructura del sitio web y sus  plugins, y en ciertas ocasiones zonas ocultas desprotegidas.

Pero cuando resulta más útil esta herramienta, es en los sitios con el modo “Index Of” habilitado. En estos casos, Dirhunt obtiene los ficheros listados más interesantes (como zips o ficheros csv olvidados) e incluso kits de malware en sitios comprometidos. Al finalizar la búsqueda, se reportan los ficheros con un resumen de su contenido. En caso de no estar el modo “Index Of” habilitado, también se muestra otra información útil, como directorios que devuelven un falso 404, o que tienen un fichero index en blanco para ocultar el contenido del directorio.


 Demostración de uso de Dirhunt
Demostración de uso de Dirhunt


En esta última versión que se ha lanzado, con identificador 0.4.0, utiliza además el fichero “robots.txt” (si existiese) para obtener posibles directorios, analizando su contenido y obteniendo a su vez nuevos directorios de los mismos.

Además, resuelve un fallo presente desde su primera versión en aquellos sitios web con un bucle de directorios. En dichos sitios, la herramienta entraba en bucle y nunca terminaba. Ahora se detectan los bucles y se para en cierto límite. También se han incluido nuevos parámetros para configurar la búsqueda, y se ha añadido soporte para Python 3.7.

Para instalar o actualizar Dirhunt puede emplearse el siguiente comando si está Pip instalado en la máquina: ‘sudo pip install -U dirhunt’. Se encuentra soportado Python 2.7 y Python 3.4-3.7, siendo la versión recomendada la última disponible de Python 3.

Juan José Oyague
joyague@hispasec.com


Más información:

Dirhunt en Github:
https://github.com/Nekmo/dirhunt

Vídeo Dirhunt demo 1:
https://asciinema.org/a/xPJXT0MhrvlZ8lJYJYkjxlice

Documentación de Dirhunt:
http://docs.nekmo.org/dirhunt/

Dirhunt en Pypi:
https://pypi.org/project/dirhunt/

Cambios en v0.4.0:

Powered by WPeMatico

Gustavo Genez

Informático de corazón y apasionado por la tecnología. La misión de este blog es llegar a los usuarios y profesionales con información y trucos acerca de la Seguridad Informática.