Nuevos labs cada semana — Accede a todos desde 5€/mes

Academy·ESC para volver Ver labs de Reconocimiento & Info Disclosure

Reconocimiento & Info Disclosure

Descubrimiento de información sensible expuesta

Respuesta rápida

¿Qué es Reconocimiento & Info Disclosure?

La fase de reconocimiento es fundamental en bug bounty. Encontrar endpoints ocultos, archivos de configuración expuestos, credenciales filtradas y servicios mal configurados puede llevar a hallazgos de alto impacto.

Severidad

Variable

Frecuencia

Muy común

Payloads

Pasos

Severidad

Variable

Frecuencia

Muy común

Payloads

El recon es la base de todo bug bounty exitoso. Incluye: enumeración de subdominios, fuzzing de directorios, Google/GitHub dorking, análisis de JavaScript, y descubrimiento de servicios expuestos. La información disclosure directa (API keys, .env, .git) también entra en esta categoría.

Exposición de credencialesAcceso a paneles de adminDescubrimiento de APIs internasFiltración de código fuenteAcceso a bases de datos

Dónde buscar

Archivos de configuración

.env, .git, web.config, wp-config.php — busca con dirbusting y Google dorks.

Endpoints de debug

/swagger, /graphql, /debug, /phpinfo, /server-status, /actuator — endpoints que exponen información interna.

JavaScript del frontend

Los bundles JS contienen endpoints de API, tokens hardcodeados, y configuración interna.

Repositorios en GitHub

Busca el nombre de la empresa/dominio en GitHub. Secrets en commits, .env en repos públicos.

Respuestas de error verbose

Stack traces, errores SQL, rutas de archivos — información que ayuda a entender la arquitectura.

Metodología

Enumerar subdominios

subfinder -d target.com | httpx — descubre todos los subdominios activos del target.

Fuzzing de directorios

ffuf -u https://target.com/FUZZ -w common.txt — encuentra archivos y endpoints ocultos.

Google dorking

site:target.com ext:env | ext:log | ext:sql — busca archivos de configuración indexados.

GitHub dorking

org:target filename:.env | password | api_key — busca secrets en repositorios.

Analizar JavaScript

Descarga los bundles JS y busca: endpoints API, tokens, configuración interna, comentarios.

Shodan / Censys

hostname:target.com — descubre servicios expuestos: MongoDB, Redis, Elasticsearch, Jenkins.

Caso real

API key en window.CONFIG → Acceso a CMS completo → Templates de pago gratis

$2,000

Inspeccionar JavaScript

En el código fuente de la página, encontrar window.CONFIG con un token de Contentful CMS.

Consultar Contentful API

Con el token, consultar la API de Contentful para listar todos los content types disponibles.

Enumerar templates

Filtrar por 'template' y descubrir templates de pago con sus assets (archivos descargables).

Descargar gratis

Acceder directamente a los assets vía la API de Contentful — sin pasar por el paywall.

Lección: Los tokens de servicios terceros (Contentful, Algolia, Firebase) nunca deben llegar al frontend. Busca siempre en window.CONFIG, __NEXT_DATA__, y similares.

Payloads

Google — archivos config

site:target.com ext:xml | ext:env | ext:yml | ext:log | ext:cfg

Google — git expuesto

site:target.com inurl:.git intitle:"index of"

Google — SQL dumps

site:target.com filetype:sql "INSERT INTO" | "password"

Google — admin panels

site:target.com inurl:admin | inurl:"/wp-admin"

Subdomain enum

subfinder -d target.com -o subs.txt && httpx -l subs.txt -o alive.txt

Payloads avanzados(requiere cuenta)

GitHub — secrets

org:target-org filename:.env | filename:credentials | filename:.npmrc

GitHub — AWS keys

org:target-org AWS_SECRET_ACCESS_KEY | PRIVATE_KEY | api_key

Shodan — servicios expuestos

hostname:target.com port:27017 (MongoDB) | port:6379 (Redis) | port:9200 (Elasticsearch)

trufflehog

trufflehog git https://github.com/target-org/repo.git

ffuf dirbusting

ffuf -u https://target.com/FUZZ -w /usr/share/seclists/Discovery/Web-Content/common.txt -mc 200,301,302

Wayback URLs

echo target.com | waybackurls | grep -E '\.env|\.git|admin|api|config|backup'

Protobuf decode

echo -n 'PARAM_VALUE' | base64 -d | protoc --decode_raw

Contenido exclusivo

Crea tu cuenta gratis para acceder a payloads avanzados, scripts y técnicas de bypass

Crear cuenta gratis

Herramientas

subfinder

Enumeración pasiva de subdominios usando múltiples fuentes.

subfinder -d target.com -o subdomains.txt

httpx

Probe HTTP masivo con detección de tecnología.

httpx -l subdomains.txt -title -status-code -tech-detect

ffuf

Fuzzer web ultrarrápido para directorios, archivos y parámetros.

ffuf -u https://target.com/FUZZ -w wordlist.txt

nuclei

Scanner de vulnerabilidades basado en templates YAML.

nuclei -u https://target.com -t cves/

gitleaks

Detecta secrets (API keys, passwords) en repositorios git.

gitleaks detect -r /path/to/repo

Tips

Revisa siempre el JavaScript

Los bundles JS del frontend contienen endpoints API, tokens, y configuración. Usa browser DevTools → Sources.

Los .git expuestos son gold

Con git-dumper puedes reconstruir el código fuente completo del backend.

Automatiza con nuclei

nuclei -u target.com -t cves/ -t exposures/ -t technologies/ — escaneo masivo con templates.

Crear cuenta para ver

Wayback Machine

web.archive.org tiene versiones antiguas con endpoints que pueden seguir activos en el backend.

Crear cuenta para ver

Favicon hash en Shodan

Calcula el hash mmh3 del favicon y búscalo en Shodan para encontrar la IP de origen detrás del CDN.

Crear cuenta para ver

Practica Reconocimiento & Info Disclosure con labs reales

Aplica estas técnicas en entornos seguros basados en reportes reales de bug bounty.

Ver labs de Reconocimiento & Info Disclosure Crear cuenta gratis