Descubrimiento de directorios y archivos ocultos sobre pivoting

Durante el proceso de reconocimiento y escaneo del servidor web en 172.16.1.6 utilizando la herramienta Dirb para descubrir directorios ocultos, se observa un comportamiento inusual: cada vez que se intenta acceder a directorios o archivos que contienen la palabra "admin" (como _admin, admin.dll, ~administrator), el servidor responde con un código de estado 302 (redirección temporal), redirigiendo a un video troll de YouTube.

Esto podría parecer un comportamiento extraño, pero hay varias razones potenciales por las cuales esto ocurre. A continuación, exploraremos algunas posibles explicaciones desde una perspectiva de pentesting y cómo este comportamiento podría estar intencionalmente implementado como una contramedida o broma.

Posible Razón: Medida Anti-Exploración o Anti-Reconocimiento

Una de las posibles razones detrás de este comportamiento es que el servidor ha sido configurado para detectar intentos de exploración o ataques dirigidos a directorios sensibles. Muchos pentesters suelen buscar directorios con nombres relacionados con administración, tales como admin, administrator, sysadmin, etc., ya que estos son comúnmente utilizados para paneles administrativos o archivos de configuración. Al redirigir cualquier intento de acceso a directorios o archivos que contengan "admin" a un video troll, el administrador del servidor podría estar:

1. Desalentando a los atacantes: El objetivo podría ser frustrar los intentos de reconocimiento y exploración al redirigir al atacante a un video humorístico en lugar de permitir el acceso a rutas sensibles. Al hacer esto, el servidor no revela información útil sobre estos directorios y, en cambio, ridiculiza al atacante, demostrando que el sistema está consciente de la exploración.

2. Evitar pruebas automáticas: El uso de herramientas automáticas como Dirb, Gobuster o Wfuzz es común en pentesting para realizar ataques de fuerza bruta de directorios. Implementar redirecciones basadas en palabras clave como "admin" puede ser una estrategia para interrumpir estas herramientas. Al redirigir a un video de YouTube, el flujo automatizado del reconocimiento es alterado, y los resultados pueden ser inútiles o distraer al atacante.

3. Protección de rutas sensibles: Otra razón podría ser que, en lugar de permitir el acceso directo a paneles administrativos, el servidor utiliza esta redirección como una capa adicional de protección. Aunque puede haber un panel administrativo en el servidor, las rutas típicas como /admin están protegidas con redirecciones, y solo rutas más complejas o personalizadas permiten el acceso legítimo.