¿Cómo enumeras un servidor web que nunca has visto antes?
Respuesta breve
Identifica la stack a partir de las cabeceras y el código fuente, y luego haz fuerza bruta de directorios y archivos con gobuster o feroxbuster usando un buen diccionario y las extensiones relevantes. Busca paneles de administración, copias de seguridad, archivos de configuración y puntos de subida, y comprueba los hosts virtuales cuando el sitio responde a un nombre de host.
Un servicio web es el punto de apoyo más común en las máquinas OSCP, y la página de inicio casi nunca muestra el componente vulnerable. La enumeración web consiste en descubrir las partes de la aplicación que el desarrollador no pretendía que vieras.
Identifica primero
Comprueba las cabeceras de respuesta, las cookies y el código fuente de la página para identificar el servidor (Apache/IIS/nginx), el lenguaje (PHP/ASP.NET) y cualquier framework o CMS. La stack decide todo lo que viene después: qué extensiones forzar y qué exploits aplican.
Fuerza bruta del contenido
Usa gobuster, feroxbuster o ffuf contra un diccionario de calidad (la colección SecLists es el estándar). Dos detalles hacen que esto funcione o fracase:
- Extensiones. Pasa
-x php,txt,bak(oasp,aspxen IIS) para encontrarconfig.php,backup.bakyadmin.php, no solo directorios. - Recursión. Cuando encuentres un directorio, haz fuerza bruta también dentro de él.
Estás cazando paneles de administración, páginas de login, subidas de archivos, robots.txt, archivos de copia de seguridad y configuración, y rutas que revelan versiones.
Hosts virtuales y código fuente
Si la aplicación se comporta de forma diferente cuando envías una cabecera Host:, fuzzea los vhosts con un diccionario de nombres de host: muchas máquinas ocultan un segundo sitio detrás de un host virtual que no está en el DNS. Lee siempre los comentarios HTML y el JavaScript enlazado; credenciales, rutas internas y endpoints de API se filtran ahí constantemente.
Por qué importa lo manual
Los escáneres automatizados se pierden el contexto. Un humano se da cuenta de que una página de «subida» junto a una carpeta con listado de directorios significa que puedes dejar y ejecutar un webshell, una cadena que ninguna herramienta por sí sola reporta.
Qué buscan los entrevistadores
Quieren fuerza bruta de directorios y archivos con las extensiones correctas, revisión del código fuente y descubrimiento de vhosts, descritos como pasos deliberados. «Simplemente miraría el sitio web» es la respuesta que suspende.
Posibles preguntas de seguimiento
- ¿Por qué importa la extensión de archivo que le pasas a gobuster?
- ¿Cómo descubrirías un host virtual que no está en el DNS?