Directory Brute-Forcing
Dir busting은 디렉터리의 경로를 연속적으로 시도하면서 숨겨진 페이지를 찾는 기술로, 이를 디렉터리 버스팅이라고도 합니다.
gobuster
기본 사용법
gobuster dir -u {target_ip} -w /usr/share/wordlists/dirb/common.txt-> -u http://IP_address/: 스캐닝할 IP 지정
-> -w /usr/share/wordlists/dirb/common.txt: 워드리스트 사용
-> -e: 발견된 경로의 전체 URL을 출력
Preignition
일단 포트 스캐닝을 위에 nmap -sV terget_ip를 진행해줍니다
해당 명령어로 -80 포트에 http 서비스가 열려 있는 것을 확인 할 수 있었습니다.
http에 dir busting을 진행해주면서 어떤 페이지들이 존재하는지 확인해봅시다.
gobuster dir -u {target_ip} -w /usr/share/wordlists/dirb/common.txt 명령어를 실행해 어떤 페이지가 있는지 봅시다.
해당 명령어로 admin.php 페이지가 존재한다는 것을 알았기 때문에 그 페이지가 어떤 구조인지 확인해봅시다.
admin.php의 구조를 보니 관리자용 로그인 페이지인 것을 확인했습니다.
일단 가장 흔한 admin/admin으로 요청을 한번 보내봤습니다.
admin/admin 이라는 아이디와 비번이 맞아 플래그를 구할 수 있었습니다.
'HackTheBox' 카테고리의 다른 글
| Starting Point - Mongod (0) | 2026.03.19 |
|---|---|
| Starting Point - Explosion (0) | 2026.03.18 |
| Starting Point - Redeemer (0) | 2026.03.17 |
| Starting Point - Dancing (0) | 2026.03.17 |
| Starting Point - Fawn (0) | 2026.03.17 |