Gobuster

1. Gobuster란?
   Gobuster는 웹 서버의 숨겨진 디렉터리, 파일, DNS 서브도메인 등을 무작부 대입(Brute Force) 방식으로 찾아내는 도구입니다.

원리: 우리가 사전에 미리 정의해둔 '단어장(Wordlist)'을 보고 하나씩 서버에 물어봅니다.

예: "너네 서버에 /admin 있어?", "/backup은?", "/config.php는?"

특징: Go 언어로 작성되어 매우 빠르고 효율적입니다.

2. 기본 사용법 (dir 모드 기준)
   가장 기본이 되는 디렉터리 스캔 명령어 형식은 다음과 같습니다.

Bash
gobuster dir -u [대상_URL] -w [단어장_경로]
-u (url): 스캔할 대상 웹 사이트 주소 (예: http://192.168.200.23)

-w (wordlist): 대조해볼 단어 뭉치가 들어있는 파일 경로

3. 실습을 위한 준비 (단어장 위치)
   Kali Linux에는 친절하게도 실습에 쓸 수 있는 단어장들이 미리 저장되어 있습니다. 가장 유명한 것은 dirb나 dirbuster 폴더 안에 있습니다.

자주 쓰이는 단어장 경로: /usr/share/wordlists/dirb/common.txt /usr/share/wordlists/dirbuster/directory-list-2.3-medium.txt

실습
usr/share/nginx/html/password.txt를 심어놓는다

칼리리눅스로 들어가서 명령어를 입력한다.

1. Gobuster 실습 결과 분석
   이미지의 하단부를 보시면 Status: 200이 뜬 항목들이 보인다.
   발견된것 : password.txt
   상태코드 : 200
   우리가 Red Hat에서 새로 만든 파일을 Gobuster가 무차별 대입 공격(Brute Force)으로 찾아낸 것입니다.

2. 보안 전문가의 관점에서 본 이번 실습
   지금 하신 과정은 해커들이 공격 대상을 정한 뒤 수행하는 '정보 수집(Reconnaissance)'의 핵심 단계입니다.

Nmap으로 80, 443 포트가 열린 것을 확인한다.

Gobuster로 관리자가 실수로 남겨둔 설정 파일이나 백업 파일(password.txt)이 있는지 훑는다.

찾아낸 파일 내용에서 비밀번호나 서버 구조를 파악해 본격적인 공격을 준비한다.