Roronoa

target ip를 확인하였다. ping을 이용하여 target의 network가 응답이 있는지 확인하였다. nmap을 이용하여 port scanning을 진행하였다. 22, 80번 포트가 열려있다. target website는 http웹 사이트가 구동되고 있다. 해당 웹 페이지를 읽어보니 robots.txt에 대한 모든 접근을 차단하라고 되어있다. robots.txt 파일에 접근을 시도해보겠다. robots.txt 파일 위치에 access하니까 /admin.html이 disallow되어 있다. 크롤러들이 크롤링할때 /admin.html 페이지를 크롤링 못하도록 설정한 것인데 우리 같은 사람은 직접 페이지에 접근이 가능하다. 일단 한번 admin 페이지에 접근을 해보겠다. admin페이지에 접근을 하니 ..

관리자 페이지는 종종 admin, admin.php, admin.jsp 등과 같은 URL로 되어 있어 쉽게 추측할 수 있다. DirBuster와 같은 자동화 툴을 이용하여 이러한 URL을 쉽게 찾을 수 있다. 그림 1은 dirbuster을 사용하여 URL을 알아냈다. 사용 명령어 gobuster dir -u http://192.168.60.136/bWAPP -w /usr/share/dirbuster/wordlists/directory-list-2.3-medium.txt -t 100 gobuster을 사용하여 디렉토리 스캔을 진행하였다. /admin이라는 디렉토리가 발견이 되었고 이 디렉토리가 관리자의 URL이라고 생각을 하고 접속을 진행하였다. 단순히 URL을 추측하여 입력함으로써 관리자 페이지에 접근하..