1. 페이지 퍼징 순서
1) 디렉터리 퍼징
- 디렉터리 존재 유무를 확인하기 위한 단계 (FUZZ에 wordlist를 할당하여 디렉터리 탐색)
2) 디렉터리 퍼징 결과
- forum과 blog 디렉터리 존재 확인(status가 301이므로 디렉터리 존재)
3) 확장자 퍼징 및 결과
- /blog 엑세스 시 빈 페이지를 반환하여 해당 디렉토리에 숨겨진 페이지를 찾기 전 페이지 유형을 알아내는 단계
- 대부분 웹사이트에서 항상 찾을 수 있는 파일인 index.*을 활용하여 페이지 유형(확장자) 확인
- 결과를 통해 해당 페이지 유형은 php라는 것을 확인
4) 페이지 퍼징
- 페이지 유형이 php라는 것을 확인했기 때문에 wordlist를 활용하여 페이지 퍼징을 하는 단계(디렉터리 퍼징과 동일)
5) 페이지 퍼징 결과
- home.php와 index.php가 있는 것을 확인
- home.php는 size가 1046으로 콘텐츠가 있음을 의미합니다.(index.php는 size가 0이고 빈페이지임)
6) 해당 페이지 접속
- 찾은 페이지로 접속 시 콘텐츠가 있는 것을 확인할 수 있습니다.
'Hackthebox > FFUF' 카테고리의 다른 글
| 4. Recursive Fuzzing (0) | 2024.08.25 |
|---|---|
| 2. Directory Fuzzing (0) | 2024.08.18 |