[버그바운티] 2. 정보 수집

🕵️‍♂️ 정보수집 (Information Gathering / Reconnaissance)

시스템을 직접 공격하기 전에, 가능한 많은 정보를 수집하여 취약점을 식별할 기반을 마련하는 단계. 

 

 

 

✅ 1. 타겟 식별 및 도메인 정보 수집

📌 목적: 대상이 누구인지, 어떤 도메인을 사용 중인지, 등록자 정보 등을 파악
🛠️ 도구: whois, nslookup, dig

• 도메인 등록자/관리자 정보 조회
• 네임서버 확인
• 도메인 만료일, 등록 대행사 파악

---

✅ 2. DNS 정보 수집

📌 목적: IP 주소, 하위 도메인, 메일 서버 등의 네트워크 인프라 정보 확인
🛠️ 도구: dig, nslookup, dnsenum, fierce

• A, MX, TXT, NS 레코드 등 조회
• 도메인에 연결된 IP 주소 확인
• 서브도메인 존재 여부 확인

---

✅ 3. 하위 도메인 / 서브도메인 수집

📌 목적: 숨겨진 시스템, 테스트 서버, 관리자 페이지 등을 찾기 위한 탐색
🛠️ 도구: Sublist3r, crt.sh, assetfinder, amass

• admin.example.com, dev.example.com 등 추적
• SSL 인증서 공개 로그 기반 추적

---

✅ 4. OSINT (공개 정보 수집, Open Source Intelligence)

📌 목적: 유출된 계정, 직원 이메일, 기술 스택, 파일 정보 등을 외부에서 수집
🛠️ 도구: 구글 해킹(Google Dork), theHarvester, Github, Shodan, Hunter.io

• site:example.com ext:sql 같은 구글 검색
• 직원 이메일 주소 수집
• Github에 노출된 소스/키 탐색
• Shodan으로 열려있는 장비 검색

---

✅ 5. 웹 서버 기술 분석

📌 목적: 서버 운영체제, 웹 프레임워크, 백엔드 언어 등 파악 (공격 벡터 결정)
🛠️ 도구: whatweb, wappalyzer, builtwith, netcraft

• Apache, Nginx, IIS 구분
• PHP, ASP.NET, WordPress 등 CMS 식별

---

✅ 6. 디렉토리 및 경로 수집

📌 목적: 숨겨진 관리자 페이지나 취약한 경로를 찾기
🛠️ 도구: gobuster, dirb, dirsearch

• /admin, /backup, /upload, /test 등 확인
• 403/404 응답을 기반으로 추론

---

✅ 7. 포트 및 서비스 스캔 (Active 정보수집)

📌 목적: 열려있는 포트와 실행 중인 서비스 파악
🛠️ 도구: nmap, netcat, masscan

• 포트 스캐닝 (TCP/UDP)
• 서비스 버전 식별
• OS 추정

---

✅ 8. 기타 정보수집 (robots.txt, sitemap, JS 분석 등)

📌 목적: 내부 경로나 개발 힌트를 발견
🛠️ 도구: 웹브라우저, BurpSuite

• robots.txt → 차단된 경로 확인
• sitemap.xml → 사이트 전체 구조 확인
• JS 파일 분석 → API 키, 내부 경로 노출

 

 

 

 

 

1.타겟 식별 및 도메인 정보 수집

대상 도메인의 주인, 관리 정보, 네임서버, 등록 날짜등을 파악하기 위함.

whois 명령어로 타겟 도메인을 입력.

📋 수집된 핵심 정보 요약

항목내용

도메인 이름	newggulmo.com
등록 기관 (Registrar)	Dynadot LLC
등록자 보호 서비스	Super Privacy Service LTD
등록일	2025-05-21
만료일	2026-05-21
WHOIS 서버	whois.dynadot.com
등록 상태	clientTransferProhibited (도메인 이전 제한 상태)
네임서버	ns1.dyna-ns.net, ns2.dyna-ns.net
DNSSEC	적용되지 않음 (unsigned)
등록자 정보	개인정보 보호 처리됨 (REDACTED FOR PRIVACY)

newggulmo.com 도메인이 DYNA-NS.NET이라는 DNS 서버를 사용하고 있다는 의미

newggulmo.com은 개설한지 1주일도 안된 최근 사이트.

등등을 알 수 있다.

 

 

2. DNS 정보 수집

실제 IP 주소, 메일 서버, 네임서버, 기타 숨겨진 정보를 얻기위함

🛠️ Kali에서 사용할 도구

• dig (DNS 정보 수집 전문 도구)
• nslookup (간단한 조회용)

2-1.웹서버 IP확인 (A레코드)

newggulmo.com.  300  IN  A  154.40.43.140

newggulmo 라는 사이트의 실제 IP는 해당과 같다는 사실을 알 수 있다.

 

 

 

2-2.네임서버 확인 (NS레코드)

타겟의 네임서버에 대한 정보수집 결과. 

"다이나닷" 이라는 DNS 서비스를 사용중인것을 알 수 있다.

 

• 결과 요약:
  • 네임서버:
    • ns1.dyna-ns.net → 162.159.26.92 / 162.159.27.158
    • ns2.dyna-ns.net → 162.159.24.5 / 162.159.25.5
  • IPv6 주소도 함께 제공됨 (AAAA 레코드)
  • TTL: 300초 (5분 동안 DNS 캐시 유지)
• 분석 포인트:
  • newggulmo.com은 Dynadot이 운영하는 DNS 네임서버를 사용하고 있음.
  • 이 네임서버가 도메인과 실제 IP 주소 간의 연결을 처리함.
  • DNS 공격 가능성을 판단하거나, 도메인 인프라를 분석하는 데 핵심 정보로 사용됨.

2-3.메일서버 존재 여부 확인 (MX레코드)

 

ANSWER:0 = 메일서버 운영중이지 않음. 즉, 메일서버 없음

 

3. 하위 도메인 수집

🎯 목표

• admin.newggulmo.com, test.newggulmo.com, dev.newggulmo.com 같은 숨겨진 서버/시스템 찾기
• 종종 별도로 관리되고, 보안이 약한 경우가 많음

 

3-1. crt.sh로 SSL 인증서 기반 수집

1. 웹 브라우저 열고:

https://crt.sh/?q=%.newggulmo.com

%는 와일드카드 → *.newggulmo.com 의미
결과에서 CN, Name 같은 열에 하위 도메인들이 나와

예시 결과 (있다면):

• dev.newggulmo.com
• vpn.newggulmo.com
• mail.newggulmo.com 등

👉 실제 도메인만 클릭해서 열어보고 살아있는지 확인 가능

• 도메인 인증서에 포함된 주소는 딱 2개뿐:
  • newggulmo.com
  • www.newggulmo.com

즉, 현재로선 숨겨진 하위 도메인(admin, dev 등)은 없거나 SSL 인증서에 등록되지 않았음.

 

3-2. Kali에서 Sublist3r로 자동 수집

sudo apt install sublist3r ##설치
sublist3r -d newggulmo.com ##실행

자동수집해도 나오는 하위주소는 www뿐임. 즉 숨겨진 하위주소는 없음.

 

4. 웹 기술 스택 분석

🎯 목표

• 웹 서버가 어떤 기술로 만들어졌는지 파악
  → 예: Apache, Nginx, PHP, WordPress, Flask, Django 등
• 이를 통해 알려진 취약점을 기반으로 공격 방향을 정할 수 있음

 

4-1.whatweb 사용 (Kali 기본 내장 도구)

whatweb http://newggulmo.com

### [정보수집 실습 #4] 웹 기술 스택 분석 결과 – newggulmo.com

- 도구: `whatweb https://newggulmo.com`
- 분석 결과 요약:
  - 웹서버: nginx
  - 백엔드 추정: PHP 기반 (`PHPSESSID` 쿠키 존재)
  - 프론트 프레임워크: Bootstrap, jQuery 1.12.4 (구버전 → 잠재적 취약점)
  - HTTPS 강제 리다이렉션 (HSTS 설정 포함)
  - 로그인 입력창 존재 (`PasswordField`)

- 보안 분석 포인트:
  - jQuery 구버전으로 인해 DOM 기반 XSS 가능성 탐색
  - 세션 쿠키 취약점 테스트 가능성 있음
  - 로그인 페이지가 존재할 경우 SQL Injection 또는 Brute-force 테스트 필요

 

 

5. 디렉토리 수집

사용도구 : gobuster

sudo apt install gobuster -y ##설치
gobuster dir -u https://newggulmo.com -w /usr/share/wordlists/dirb/common.txt -k ##수집 명령

무차별 대입공격중 자동탐지 시스템으로 ip대역 차단당함. (데이터키고 폰으로 접속시 접속되는데 와이파이 키고들어가면 안들어가짐)

이미 차단된 아이피 광역대이기에 핫스팟을 키고 새로 ip를 받아 우회방법을 생각후 다시시도해볼것.

 

1. 왜 차단이 되었을까?

=> WAF 설정 , rate limiting (일정 요청 수 초과시 ip차단) 등등이 존재할 것. (일정시간동안은 대입 공격이 됐으나 어느시점부터 차단되었기 때문)

 

WAF 탐지 도구인 wafw00f를 활용하여 웹방화벽 존재 여부를 확인해본결과

No WAF detected by generic detection = 일반적인 waf는 존재하지 않단것.

따라서 rate limiting이 존재할 확률이 더 높아짐

 

혹시몰라 USER-Agent에 따라 차단되었을수도 있나? => 확인결과 200으로 정상적으로 기능함. 따라서 user-agent에 따라 차단되고있진 않음.

rate-liminting때문에 막히는듯?

(따라서 대입공격에 초당 요청을 줄이고 휴식을 걸어 우회하여 시간이 걸리더라도 검색하는 방법이 있음.)

 

 

6.포트 스캔 (nmap)

nmap -sV -Pn --max-rate 50 newggulmo.com

-Pn : 핑 생략 (차단 피하기 위함)

--max-rate ( 초당 요청을 제한시켜 공격 탐지를 못하게끔 위함 )

 

nmap을 통한 포트 스캔 결과, newggulmo.com에는 총 7개의 열려있는 포트가 확인되었다.
- FTP (21/tcp): Pure-FTPd가 실행 중이며 익명 로그인 테스트 필요
- SSH (22/tcp): OpenSSH 7.4가 실행 중이며, 버전 기반 취약점 탐색 가능
- HTTP/HTTPS (80, 443, 888, 3000, 3001): nginx 및 Node.js 기반 서비스로 다양한 웹 공격 테스트 대상
가장 먼저 FTP의 익명 로그인 가능성을 확인하고, 이후 Web 서비스의 파라미터 기반 공격 탐색으로 이어질 계획이다.

 

 

7. CMS 식별 및 버전 유추

운영 웹 페이지 소스 코드 수집 (HTML/JS)

🎯 목적:

• 숨겨진 경로, 주석, URL, 개발자 힌트
• 불완전한 JS 포함 가능성 (debug=true, /api, /admin.js 등)

curl -s https://newggulmo.com > main.html
grep -Ei 'form|input|action|token|key|api|admin|script' main.html

타겟 메인페이지의 html을 가져와 파일에 넣고 grep으로 볼만한 요소들만 따로 정리를 했다.

 

🔍 관찰된 특이점:

• g5_url, g5_bbs_url, g5_is_member 등의 전역 자바스크립트 변수
• /theme/eb4_basic/ 경로 사용 (→ Eyoom 빌더 테마)
• common.js, wrest.js, jquery.min.js 등 전형적인 그누보드 리소스 구조

이를 보니 "그누보드" 기반으로 만들어진 쇼핑몰 사이트인 것 같다고 유추함.

따라서 그누보드 배포중인 공식페이지에 들어가 그누보드 파일을 다운받고

몇가지 부분들을 대조해봤음.

 

 

타겟 페이지의 html요소중 " // 자바 스크립트에서 사용하는 전역변수 선언" 이라는 주석과함께

g5_url , g5_bbs_url 등등 변수들을 선언하는 파트가 있었다.

 

그누보드 공식 홈페이지에서 다운받은 파일을 열어서 해당 주석같은게 존재하는지, 변수들이 존재하는지 찾아본결과

 

주석 내용과 변수 선언부분까지 정확히 일치하는것을 확인.

따라서 해당 타겟은 "그누보드"를 사용중이구나 라고 확신함.

 

따라서 이 타겟페에지에서 어떤 그누보드 버전을 사용중인지만 확인한다면 

인터넷 상에 친절히 나와있는 그누보드 버전별 취약점 등등을 확인하고 공격을 시도하는데 유용하게 써먹을 수 있을것! 

---

✅ 지금까지 완료된 정보수집 범위 정리

범위진행 여부수집한 정보

도메인 정보 (WHOIS)	✅	등록일, 네임서버, 등록자 정보
DNS 정보 (A/NS/MX)	✅	IP, 네임서버, 이메일 관련 없음 확인
서브도메인 수집	✅	www 외 추가 도메인 없음
SSL 인증서 분석 (crt.sh)	✅	Let's Encrypt 사용, 등록일 확인
디렉토리 수집 (gobuster/whatweb)	✅	여러 경로 수집, 일부 응답 정상
robots.txt 확인	✅	없음 (404 응답)
서버 스택 분석 (whatweb)	✅	nginx, PHP 기반, Bootstrap, jQuery 버전
포트 스캔 (nmap)	✅	21/22/80/443/888/3000/3001 확인
WAF 탐지 (wafw00f)	✅	없음 (또는 탐지 불가)
Rate-Limiting 탐지	✅	존재함 → 차단 경험
HTML 구조 수집 및 분석	✅	g5_url, Eyoom, g5_bbs_url 등
CMS 탐지 및 버전 유추	✅	Gnuboard 계열 (추후 버전 유추 필요)
소스코드 분석 (js/css 연결 및 경로)	✅	head.sub.php 구조 일치 확인

유명한 피싱사이트를 대상으로 진행했으며 실제 공격 및 실습은 진행하지 않았습니다. 문제시 게시글 삭제 예정