💡 Gobuster (고버스터) 심층 분석 및 웹 디렉터리/DNS 정찰 실무 가이드📌 핵심 요약 (TL;DR)본질: Go 언어의 강력한 동시성(Concurrency)을 기반으로 웹 디렉터리, 가상 호스트(Vhost), DNS 서브도메인을 초고속으로 무차별 대입(Brute-forcing) 탐색하는 정찰 도구임.위협 및 목적: 관리자가 방치한 백업 파일(.bak), 숨겨진 관리자 페이지(/admin), 테스트 API 경로 등을 폭로하여 2차 침투(RCE, 권한 탈취)의 교두보를 확보함.대응 방안: L7 웹 방화벽(WAF) 및 Nginx 단에서 특정 IP의 비정상적인 HTTP 404 에러 폭주를 탐지하는 속도 제한(Rate Limiting)을 강제 인포싱하고, 불필요한 시스템 파일을 운영망에서 전면 멸균해..
1. Target Overview (머신 요약)Target Name: CrocodileOS: LinuxDifficulty: Tier 1 (Starting Point)Vulnerability: Anonymous FTP Access (익명 FTP 접근), Information Disclosure (민감한 정보 노출)Attack Vector: Credential Reuse/Chaining (탈취한 인증 정보를 활용한 타 서비스 웹 로그인 우회)2. 핵심 개념 총정리① 크리덴셜 체이닝 (Credential Chaining / Reuse)공격자가 특정 시스템이나 서비스(예: FTP, SMB)에서 획득한 아이디와 패스워드 조합을 타겟 인프라 내의 전혀 다른 서비스(예: Web Admin Panel, SSH)에 대입..
1. Target Overview (머신 요약)Target Name: PreignitionOS: LinuxDifficulty: Tier 0 (Starting Point)Vulnerability: Directory Enumeration (디렉토리 열거 및 경로 노출), Default Credentials (기본 자격 증명 방치)Attack Vector: Brute-force 기반의 은닉된 관리자 인터페이스(Admin Panel) 탐색 및 인증 우회2. 핵심 개념 총정리① Directory Enumeration (디렉토리 열거)웹 서버 내부에 하이퍼링크로 연결되지 않은 숨겨진 파일이나 관리자 전용 페이지 경로를 식별하기 위해, 사전에 정의된 단어장(Wordlist)을 기반으로 수많은 HTTP GET 요청을 ..