日本免费全黄少妇一区二区三区-高清无码一区二区三区四区-欧美中文字幕日韩在线观看-国产福利诱惑在线网站-国产中文字幕一区在线-亚洲欧美精品日韩一区-久久国产精品国产精品国产-国产精久久久久久一区二区三区-欧美亚洲国产精品久久久久

  1. 首頁 > 云知道 > >

Google Hacking 的實現(xiàn)以及應用

云知道

前言
google hacking其實并算不上什么新東西,在早幾年我在一些國外站點上就看見過相關的介紹,但是由于當時并沒有重視這種技術,認為最多就只是用來找找未改名的mdb或者別人留下的webshell什么的,并無太大實際用途.但是前段時間仔細啃了些資料才猛然發(fā)覺google hacking其實并非如此簡單...
google hacking的簡單實現(xiàn)
記得以前看見過一篇文章寫的就是簡單的通過用www.google.com來搜索dvbbs6.mdb或conn.inc來獲得一些站點的敏感信息.其實使用google中的一些語法可以提供給我們更多的信息(當然也提供給那些習慣攻擊的人更多他們所想要的.),下面就來介紹一些常用的語法.
intext:
這個就是把網(wǎng)頁中的正文內容中的某個字符做為搜索條件.例如在google里輸入:intext:動網(wǎng).將返回所有在網(wǎng)頁正文部分包含"動網(wǎng)"的網(wǎng)頁.allintext:使用方法和intext類似.
intitle:
和上面那個intext差不多,搜索網(wǎng)頁標題中是否有我們所要找的字符.例如搜索:intitle:安全天使.將返回所有網(wǎng)頁標題中包含"安全天使"的網(wǎng)頁.同理allintitle:也同intitle類似.
cache:
搜索google里關于某些內容的緩存,有時候也許能找到一些好東西哦.
define:
搜索某個詞語的定義,搜索:define:hacker,將返回關于hacker的定義.
filetype:
這個我要重點推薦一下,無論是撒網(wǎng)式攻擊還是我們后面要說的對特定目標進行信息收集都需要用到這個.搜索指定類型的文件.例如輸入:filetype:doc.將返回所有以doc結尾的文件URL.當然如果你找.bak、.mdb或.inc也是可以的,獲得的信息也許會更豐富:)
info:
查找指定站點的一些基本信息.
inurl:
搜索我們指定的字符是否存在于URL中.例如輸入:inurl:admin,將返回N個類似于這樣的連接:http://www.xxx.com/xxx/admin,用來找管理員登陸的URL不錯.allinurl也同inurl類似,可指定多個字符.
link:
例如搜索:inurl:www.4ngel.net可以返回所有和www.4ngel.net做了鏈接的URL.
site:
這個也很有用,例如:site:www.4ngel.net.將返回所有和4ngel.net這個站有關的URL.
對了還有一些操作符也是很有用的:
把google可能忽略的字列如查詢范圍
- 把某個字忽略
~ 同意詞
. 單一的通配符
* 通配符,可代表多個字母
"" 精確查詢
下面開始說說實際應用(我個人還是比較習慣用google.com,以下內容均在google上搜索),對于一個居心叵測的攻擊者來說,可能他最感興趣的就是密碼文件了.而google正因為其強大的搜索能力往往會把一些敏感信息透露給他們.用google搜索以下內容:
intitle:"index of" etc
intitle:"Index of" .sh_history
intitle:"Index of" .bash_history
intitle:"index of" passwd
intitle:"index of" people.lst
intitle:"index of" pwd.db
intitle:"index of" etc/shadow
intitle:"index of" spwd
intitle:"index of" master.passwd
intitle:"index of" htpasswd
"# -FrontPage-" inurl:service.pwd
有時候因為各種各樣的原因一些重要的密碼文件被毫無保護的暴露在網(wǎng)絡上,如果被別有用心的人獲得,那么危害是很大的
同樣可以用google來搜索一些具有漏洞的程序,例如ZeroBoard前段時間發(fā)現(xiàn)個文件代碼泄露漏洞,我們可以用google來找網(wǎng)上使用這套程序的站點:
intext:ZeroBoard filetype:php
或者使用:
inurl:outlogin.php?_zb_path= site:.jp
來尋找我們所需要的頁面.phpmyadmin是一套功能強大的數(shù)據(jù)庫操作軟件,一些站點由于配置失誤,導致我們可以不使用密碼直接對phpmyadmin進行操作.我們可以用google搜索存在這樣漏洞的程序URL:
intitle:phpmyadmin intext:Create new database
【Google Hacking 的實現(xiàn)以及應用】

推薦閱讀