En el mundo del pentesting y el hacking ético, la fase de enumeración es crítica. Si no puedes encontrar un recurso, no puedes atacarlo. Hoy vamos a hablar de una herramienta que se ha convertido en la favorita de muchos por su increíble velocidad y eficiencia: Gobuster.
¿Qué es Gobuster?
Gobuster es una herramienta desarrollada en el lenguaje Go que se utiliza para realizar ataques de fuerza bruta contra URIs (directorios y archivos) en sitios web, subdominios de DNS, y buckets de Amazon S3.
Instalación rápida
Si utilizas Kali Linux o Parrot OS, ya la tienes a mano. Si no, puedes instalarla con un simple comando:
sudo apt update && sudo apt install gobuster
Si prefieres instalarla usando Go directamente:
go install github.com/OJ/gobuster/v3@latest
Los Modos de Uso más importantes
Gobuster es versátil. Tres escenarios donde más brilla:
1. Descubrimiento de Directorios y Archivos (dir)
Este es el uso más común. Sirve para encontrar carpetas ocultas como /admin, /backup, o archivos de configuración.
Comando básico:
gobuster dir -u http://10.10.10.10 -w /usr/share/wordlists/dirb/common.txt
Buscando archivos específicos: Si quieres buscar archivos con extensiones como .php, .log o .txt, añade el flag -x:
gobuster dir -u http://target.com -w lista.txt -x php,log,txt
2. Enumeración de Subdominios (dns)
Ideal para la fase de reconocimiento de una organización. Ayuda a encontrar subdominios que no están vinculados públicamente.
gobuster dns -d mi-objetivo.com -w /usr/share/wordlists/rockyou.txt
3. Virtual Hosts (vhost)
A veces, un servidor aloja varios sitios web en la misma IP. Este modo permite descubrir esos nombres de host virtuales.
gobuster vhost -u http://target.com -w vhosts-list.txt
Consejos para obtener mejores resultados
Usa Wordlists de calidad: El éxito de Gobuster depende 100% de tu diccionario. Te recomiendo descargar
SecLists Ajusta los hilos (Threads): Por defecto, Gobuster usa 10 hilos. Si el servidor es robusto, puedes subirlo a 50 o 100 con el flag
-tpara ir más rápido:gobuster dir -u http://target.com -w lista.txt -t 50Ignora códigos de estado: Si el servidor devuelve muchos errores 403 (Prohibido) y no te interesan, puedes filtrarlos con
-b 403.
Consideraciones Éticas
Recuerda que Gobuster realiza miles de peticiones en pocos segundos. Esto es fácilmente detectable por Firewalls y sistemas IDS/IPS, y además puede saturar servidores pequeños. Úsalo siempre bajo autorización previa y en entornos legales.
