Dirhunt, una
herramienta para encontrar directorios de un sitio web sin fuerza bruta, ha
lanzado una nueva versión con soporte para el fichero Robots.txt, entre otros
cambios
Esta herramienta de
reciente creación (enero de este mismo año) se trata de un crawler
especializado en la búsqueda y análisis de directorios de un sitio web. En vez
de utilizar fuerza bruta, recorre el sitio web (tanto enlaces como carpetas de
recursos) para encontrar directorios. En la mayoría de los casos, permite
conocer la estructura del sitio web y sus
plugins, y en ciertas ocasiones zonas ocultas desprotegidas.
Pero cuando resulta
más útil esta herramienta, es en los sitios con el modo "Index Of"
habilitado. En estos casos, Dirhunt obtiene los ficheros listados más
interesantes (como zips o ficheros csv olvidados) e incluso kits de malware en
sitios comprometidos. Al finalizar la búsqueda, se reportan los ficheros con un
resumen de su contenido. En caso de no estar el modo "Index Of"
habilitado, también se muestra otra información útil, como directorios que
devuelven un falso 404, o que tienen un fichero index en blanco para ocultar el
contenido del directorio.
En esta última
versión que se ha lanzado, con identificador 0.4.0, utiliza además el fichero
"robots.txt" (si existiese) para obtener posibles directorios,
analizando su contenido y obteniendo a su vez nuevos directorios de los mismos.
Además, resuelve un
fallo presente desde su primera versión en aquellos sitios web con un bucle de
directorios. En dichos sitios, la herramienta entraba en bucle y nunca
terminaba. Ahora se detectan los bucles y se para en cierto límite. También se
han incluido nuevos parámetros para configurar la búsqueda, y se ha añadido
soporte para Python 3.7.
Para instalar o
actualizar Dirhunt puede emplearse el siguiente comando si está Pip instalado
en la máquina: 'sudo pip install -U dirhunt'. Se encuentra soportado Python 2.7
y Python 3.4-3.7, siendo la versión recomendada la última disponible de Python
3.
Más información:
·
Dirhunt
en Github: https://github.com/Nekmo/dirhunt
·
Vídeo
Dirhunt demo 1: https://asciinema.org/a/xPJXT0MhrvlZ8lJYJYkjxlice
·
Documentación
de Dirhunt: http://docs.nekmo.org/dirhunt/
·
Dirhunt
en Pypi: https://pypi.org/project/dirhunt/
·
Cambios
en v0.4.0: https://github.com/Nekmo/dirhunt/releases/tag/v0.4.0
Fuente: Hispasec