Google Hacking搜尋語法

2021-09-24 19:47:02 字數 1550 閱讀 9840

google是一款功能強大的搜尋引擎,能夠根據robots協議抓取網際網路上幾乎所有頁面,其中包括大量賬號密碼等敏感資訊。ghdb(google hacking database)存放了大量敏感資訊,google hacking是指利用google等搜尋引擎搜尋資訊來進行入侵的技術和行為,攻擊者利用搜尋引擎高階指令能夠輕鬆獲取指定的敏感資訊。以下是利用ghdb結合搜尋引擎高階指令進行敏感資訊獲取的對應表:

1、搜尋特殊的檔案字尾 

在此過程中,測試人員會對域進行如下內容的搜尋

搜尋內容

說明site:test.com inurl:jsp.bak

搜尋站點中是否存在字尾為jsp.bak的檔案,即某些jsp的備份檔案

site:test.com filetype:sql

搜尋站點中是否存在sql指令碼檔案

site:test.com inurl:log 

搜尋站點中是否存在應用程式日誌檔案,如ftp日誌、oracle日誌等

site:test.com filetype:txt 

查詢站點中是否有包含敏感資訊的txt檔案

site:test.com filetype:conf 

查詢站點中是否有包含敏感資訊的conf檔案

2、查詢第三方元件或程式 

在此過程中,測試人員對域進行如下內容的搜尋:

搜尋內容

說明site: test.com inurl:/fckeditor/  

搜尋站點是否使用了fckeditor

site: test.com inurl:ewebeditor

搜尋站點是否使用了ewebeditor

3、搜尋錯誤的配置 

在此過程中,測試人員會對域進行如下內容的搜尋:

搜尋內容

說明site: test.com intitle:」index of /」 

搜尋站點是否使用了列目錄功能

site: test.com inurl:」examples」

搜尋站點中是否存在測試**

4、搜尋管理後台 

在此過程中,測試人員會對域進行如下內容的搜尋:

搜尋內容

說明site: test.com inurl:admin

搜尋站點是否對外開放了管理後台

site: test.com inurl:login 

同上site: test.com inurl:manage 

同上site: test.com inurl:system

同上site: test.com inurl:console 

同上site:***x.com intext:管理 //檢視後台

site:***x.com intitle:管理 

site:a2.***x.com filetype:asp //檢視伺服器使用的程式

site:a2.***x.com filetype:php 

site:a2.***x.com filetype:aspx 

site:a3.***x.com filetype:asp 

site:a2.***x.com inurl:file //檢視上傳漏洞 

Googlehacking 資訊收集

googlehacking 資訊收集 一 簡單的語句 1.site 定位目標主機,這個命令與其他命令配合使用,會大大提高效率 2.intitle index.of 目錄 3.error warning error也有 accessdeniedfor user 代替 可以獲取使用者名稱 檔名 路徑資訊...

Google Hacking基本用法

邏輯與 and 邏輯或 or 邏輯非 萬用字元 尋找正文中含有關鍵字的網頁,例如 intext 後台登入 將返回正文中包含 後台登入 的網頁。尋找標題中含有關鍵字的網頁,例如 intitle 後台登入 將返回標題中包含 後台登入 的網頁。用法和intitle類似,只不過可以指定多個詞,例如 allt...

Google Hacking語法總結

最後 前言 簡單總結下google hacking語法。一 什麼是google hacking?對於普通的使用者而言,google只是一款強大的搜尋引擎,而對於滲透人員而言,它可能是一款絕佳的滲透工具。正因為google的檢索能力強大,我們可以構造特殊的關鍵字語法來搜尋網際網路上的的相關敏感資訊。二...