Proyecto de Reconocimiento de Pentesting en Sitio Web Vulnerable

🌱 ¿Cómo empezar este proyecto?

¡No clones este repositorio! solo sigue las intrucciones.

Este ejercicio tiene como objetivo enseñar a los estudiantes a realizar la fase de reconocimiento en un sitio web vulnerable (bWAPP en BeeBox VM).

Requisitos

• bWAPP en BeeBox VM (usa la que hicimos en proyectos previos).
• Kali Linux (máquina atacante).
• Asegurarse de tener una red configurada en Modo Puente (Bridged Networking) para que BeeBox y tu máquina atacante puedan comunicarse.

Herrramientas necesarias

• nslookup
• whois
• Sublist3r
• Nikto
• Gobuster
• Dirb
• SecLists repo por Daniel Miessler

📝 Instrucciones

Paso 1: Enumeración de servicios:

• Escaneo de red: Usar nmap para identificar la dirección IP de BeeBox VM.

  1nmap -sn 192.168.1.0/24

• Identificación de servicios y puertos: Realizar un escaneo de puertos y servicios con nmap.

  1nmap -sV -p- <IP_de_BeeBox>

Paso 2: Recolección de información sobre el dominio:

• Uso de nslookup:

  1nslookup <IP_de_BeeBox>

• Uso de whois:

  1whois <IP_de_BeeBox>

Paso 3: Escaneo de vulnerabilidades:

• UUso de Nikto:

  1nikto -h <IP_de_BeeBox>

Paso 4: Fuerza bruta en directorios y archivos:

• Uso de Gobuster:

  1gobuster dir -u http://<IP_de_BeeBox> -w /path/to/SecLists/Discovery/Web-Content/common.txt

• Uso de Dirb:

  1dirb http://<IP_de_BeeBox> /path/to/SecLists/Discovery/Web-Content/common.txt

Paso 5: Reporte de Reconocimiento:

• Resumen del entorno:
• Resultados del escaneo de red:
• Resultados de enumeración de servicios:
• Información del dominio:
• Subdominios encontrados:
• Vulnerabilidades identificadas:
• Directorios y archivos encontrados:
• Análisis y conclusiones:

Entrega

• Informe detallado en formato PDF con todos los resultados y análisis:
  • Capturas de pantalla de los comandos y resultados relevantes
  • Cualquier script personalizado o comandos adicionales utilizados durante el proceso

Recomendaciones

• Documentar cada paso y resultado con capturas de pantalla y descripciones detalladas.
• Utilizar una estructura clara y organizada para el informe final.
• Asegurarse de tener los permisos necesarios para realizar pruebas de pentesting en el entorno configurado.