Me han hackeado

Semana 2 – 🕵️‍♂️ Fuzzing con FFUF: encuentra rutas ocultas como un pro

¿Alguna vez te has preguntado…?

«¿Qué hay detrás de una web, que no se ve a simple vista?»

Hoy lo vas a descubrir. Vamos a usar fuzzing para explorar rutas ocultas en una web como si estuviéramos abriendo puertas en un edificio sin mapa.

🔍 ¿Qué es fuzzing?

El fuzzing consiste en probar muchos valores automáticamente para ver si alguno devuelve una respuesta interesante.

En este caso, vamos a buscar rutas como:

/admin
/login
/.env
/config

👉 Aunque no estén enlazadas desde ningún botón o menú, puede que sigan existiendo y nos den acceso a partes sensibles de la web.

⚙️ ¿Qué es FFUF?

FFUF (Fuzz Faster U Fool) es una herramienta en terminal para hacer fuzzing.
Es rápida, flexible y perfecta para encontrar rutas ocultas.

🧰 ¿Cómo se instala?

En la mayoría de distros como Kali o Parrot ya viene instalada.

Si no, puedes instalarla con Go:

install github.com/ffuf/ffuf/v2@latest

💡 Ejemplo básico: buscar rutas ocultas

Supón que tienes una web vulnerable como:

https://ffuf-lab.onrender.com/

Para descubrir rutas ocultas, ejecuta:

ffuf -u https://ffuf-lab.onrender.com/FUZZ -w /usr/share/seclists/Discovery/Web-Content/common.txt

📁 Este comando usará el archivo de palabras (wordlist) para probar cosas como:

https://.../admin
https://.../login
https://.../config

FFUF te mostrará qué rutas existen según el código de respuesta que devuelva la web (por ejemplo, 200 = OK).

🧪 Laboratorio online para practicar

He montado un entorno real para que puedas probarlo sin romper nada:

🔗 Acceder al laboratorio

Puedes probar el fuzzing directamente sobre este dominio con esta lista:

ffuf -u https://ffuf-lab.onrender.com/FUZZ -w custom-list.txt

📝 Crea tu propia lista custom-list.txt con rutas como:

admin
login
panel
usuarios

🎯 EL DESAFÍO

👉 Objetivo: encontrar al menos 3 rutas reales dentro del laboratorio.

📌 Pistas:

  • Piensa como un desarrollador: ¿qué carpetas suelen dejar sin proteger?
  • Prueba nombres comunes como: login, admin, dashboard, config.

🧠 ¿Qué aprendes con esto?

  • A usar FFUF desde cero
  • A reconocer rutas importantes
  • A interpretar respuestas HTTP como 200, 403, 404
  • A pensar como un atacante (pero con ética 🧑‍💻)

📤 ¿Te atreves a compartir tus hallazgos?

Deja en comentarios:

  • Las rutas que encontraste
  • Qué crees que haría un atacante si descubre esas rutas
  • ¿Deberían estar públicas o no?