목차
주요 테이크 아웃
- 디렉토리 버스팅은 웹 서버 또는 애플리케이션에서 숨겨진 디렉토리 및 파일을 발견하기 위한 윤리적 해킹의 필수 기술입니다.
- Linux는 DIRB, DirBuster, Gobuster, ffuf 및 dirsearch와 같은 디렉토리 버스트를 위한 여러 도구를 제공합니다.
- 이러한 도구는 HTTP 요청을 웹 서버로 보내는 프로세스와 웹사이트의 탐색 또는 사이트맵에 광고되지 않은 리소스를 찾기 위해 디렉터리 이름을 추측하는 프로세스를 자동화합니다.
오늘의 MUO 비디오
콘텐츠를 계속하려면 스크롤하세요.
모든 웹 애플리케이션 침투 테스트의 정찰 단계에서는 애플리케이션에서 가능한 디렉토리를 찾는 것이 필수적입니다. 이러한 디렉터리에는 응용 프로그램의 취약점을 찾고 보안을 개선하는 데 크게 도움이 되는 중요한 정보와 결과가 포함될 수 있습니다.
운 좋게도 디렉토리 무차별 대입을 더 쉽고 자동화하고 빠르게 만드는 도구가 인터넷에 있습니다. 다음은 웹 애플리케이션에서 숨겨진 디렉토리를 열거하기 위한 Linux의 5가지 디렉토리 버스팅 도구입니다.
디렉터리 버스팅이란 무엇입니까?
“디렉토리 무차별 대입(directory brute forcing)”이라고도 하는 디렉토리 버스팅은 웹 서버나 애플리케이션에서 숨겨진 디렉토리와 파일을 발견하기 위해 윤리적 해킹에 사용되는 기술입니다. 이름을 추측하거나 공통 디렉토리 및 파일 이름 목록을 통해 열거하여 다른 디렉토리에 체계적으로 액세스하려는 시도가 포함됩니다.
디렉토리 버스팅 프로세스는 일반적으로 웹 서버에 HTTP 요청을 보내는 자동화된 도구 또는 스크립트를 사용하고 다른 디렉토리 및 파일 이름을 시도하여 웹사이트의 탐색 또는 사이트맵에 명시적으로 링크되거나 광고되지 않은 리소스를 찾는 작업을 포함합니다.
디렉터리 버스팅을 수행하기 위해 인터넷에서 사용할 수 있는 수백 가지의 무료 도구가 있습니다. 다음 침투 테스트에서 사용할 수 있는 몇 가지 무료 도구는 다음과 같습니다.
1. 더브
DIRB는 웹 애플리케이션에서 디렉토리를 검색하고 무차별 대입하는 데 사용되는 널리 사용되는 Linux 명령줄 도구입니다. 웹 사이트 URL에 대한 단어 목록에서 가능한 디렉토리를 열거합니다.
DIRB는 Kali Linux에 이미 설치되어 있습니다. 그러나 설치되어 있지 않은 경우 걱정할 필요가 없습니다. 설치하려면 간단한 명령만 있으면 됩니다.
Debian 기반 배포판의 경우 다음을 실행합니다.
sudo apt install dirb
Fedora 및 CentOS와 같은 비 Debian Linux 배포판의 경우 다음을 실행합니다.
sudo dnf install dirb
Arch Linux에서 다음을 실행합니다.
yay -S dirb
DIRB를 사용하여 디렉터리를 Bruteforce하는 방법
웹 애플리케이션에서 디렉터리 무차별 대입을 수행하기 위한 구문은 다음과 같습니다.
dirb [url] [path to wordlist]
예를 들어 https://example.com에 무차별 공격을 가하는 경우 다음 명령이 사용됩니다.
dirb https://example.com wordlist.txt
단어 목록을 지정하지 않고 명령을 실행할 수도 있습니다. DIRB는 기본 단어 목록 파일인 common.txt를 사용하여 웹사이트를 스캔합니다.
dirb https://example.com
2. 더버스터
DirBuster는 DIRB와 매우 유사합니다. 주요 차이점은 명령줄 도구인 DIRB와 달리 DirBuster에는 그래픽 사용자 인터페이스(GUI)가 있다는 것입니다. DIRB를 사용하면 취향에 맞게 디렉토리 무차별 대입 스캔을 구성하고 상태 코드 및 기타 흥미로운 매개변수로 결과를 필터링할 수 있습니다.
또한 검사를 실행할 속도를 결정하는 스레드 수와 응용 프로그램이 검색할 특정 파일 확장자를 설정할 수 있습니다.
스캔하려는 대상 URL, 사용할 단어 목록, 파일 확장자 및 스레드 수(선택 사항)를 입력한 다음 시작을 클릭하기만 하면 됩니다.
스캔이 진행됨에 따라 DirBuster는 검색된 디렉토리와 파일을 인터페이스에 표시합니다. 각 요청의 상태(예: 200 OK, 404 Not Found) 및 검색된 항목의 경로를 볼 수 있습니다. 추가 분석을 위해 스캔 결과를 파일에 저장할 수도 있습니다. 이렇게 하면 결과를 문서화하는 데 도움이 됩니다.
DirBuster는 Kali Linux에 설치되어 있지만 쉽게 할 수 있습니다. 우분투에 DirBuster 설치.
3. 고버스터
Gobuster는 웹사이트, Amazon S3 버킷, DNS 하위 도메인, 대상 웹 서버의 가상 호스트 이름, TFTP 서버 등의 디렉토리 및 파일을 무차별 대입하는 데 사용되는 Go로 작성된 명령줄 도구입니다.
Kali와 같은 Linux의 Debian 배포판에 Gobuster를 설치하려면 다음을 실행합니다.
sudo apt install gobuster
Linux 배포판의 RHEL 제품군의 경우 다음을 실행합니다.
sudo dnf install gobuster
Arch Linux에서 다음을 실행합니다.
yay -S gobuster
또는 Go가 설치되어 있는 경우 다음을 실행합니다.
go install github.com/OJ/gobuster/v3@latest
고버스터 사용법
Gobuster를 사용하여 웹 애플리케이션에서 디렉토리를 무차별 대입하는 구문은 다음과 같습니다.
gobuster dir -u [url] -w [path to wordlist]
예를 들어 https://example.com의 디렉토리를 무차별 대입하려는 경우 명령은 다음과 같습니다.
gobuster dir -u https://example.com -w /usr.share/wordlist/wordlist.txt
4. 후프
ffuf는 Go로 작성된 매우 빠른 웹 fuzzer 및 디렉터리 무차별 대입 도구입니다. 그것은 매우 다재다능하며 특히 속도와 사용 용이성으로 유명합니다.
ffuf는 Go로 작성되었으므로 Linux PC에 Go 1.16 이상이 설치되어 있어야 합니다. 다음 명령어로 Go 버전을 확인하세요.
go version
ffuf를 설치하려면 다음 명령을 실행합니다.
go install github.com/ffuf/ffuf/v2@latest
또는 다음 명령을 사용하여 github 리포지토리를 복제하고 컴파일할 수 있습니다.
git clone https://github.com/ffuf/ffuf ; cd ffuf ; go get ; go build
Bruteforce 디렉토리에 ffuf를 사용하는 방법
ffuf를 사용한 디렉터리 무차별 대입의 기본 구문은 다음과 같습니다.
ffuf -u [URL/FUZZ] -w [path to wordlist]
예를 들어 https://example.com을 스캔하려면 명령은 다음과 같습니다.
ffuf -u https://example.com/FUZZ -w wordlist.txt
5. 검색
dirsearch는 웹 애플리케이션에서 디렉토리를 열거하는 데 사용되는 또 다른 무차별 대입 명령줄 도구입니다. 터미널 기반 애플리케이션임에도 불구하고 화려한 출력 때문에 특히 선호된다.
다음을 실행하여 pip를 통해 dirsearch를 설치할 수 있습니다.
pip install dirsearch
또는 다음을 실행하여 GitHub 리포지토리를 복제할 수 있습니다.
git clone https://github.com/maurosoria/dirsearch.git --depth 1
Bruteforce 디렉토리에 dirsearch를 사용하는 방법
dirsearch를 사용하여 디렉터리를 무차별 대입하기 위한 기본 구문은 다음과 같습니다.
dirsearch -u [URL]
https://example.com의 디렉터리를 무차별 대입하려면 다음 작업만 수행하면 됩니다.
dirsearch -u https://example.com
이러한 도구를 사용하면 이러한 디렉토리를 추측하는 데 수동으로 소요되는 많은 시간을 절약할 수 있습니다. 사이버 보안에서 시간은 큰 자산입니다. 이것이 바로 모든 전문가가 일상적인 프로세스를 최적화하는 오픈 소스 도구를 활용하는 이유입니다.
특히 Linux에는 작업을 보다 효율적으로 수행할 수 있는 수천 가지의 무료 도구가 있습니다. 필요한 것은 탐색하고 자신에게 적합한 것을 선택하기만 하면 됩니다!