Google Hacking語法總結

最後：前言：

簡單總結下google hacking語法。

一、什麼是google hacking？

對於普通的使用者而言，google只是一款強大的搜尋引擎，而對於滲透人員而言，它可能是一款絕佳的滲透工具。正因為google的檢索能力強大，我們可以構造特殊的關鍵字語法來搜尋網際網路上的的相關敏感資訊。

二、google hacking的常用語法：

intitle：搜尋網頁標題中包含有特定字元的網頁。例如輸入intitle:cbi，這樣網頁標題中帶有cbi的網頁都會被搜尋出來。

inurl：搜尋包含有特定字元的url。例如輸入inurl:cbi，則可以找到帶有cbi字元的url。

filetype：搜尋指定型別的檔案。例如輸入filetype:cbi，將返回所有以cbi結尾的檔案url。

這些就是google hacking的常用語法，雖然這只是google語法中很小的部分，但是合理使用這些語法將產生意想不到的效果。

了解了google hacking的基本語法後，我們來看一下黑客是如何使用這些語法進行google hack的，這些語法在滲透的過程中又會起到怎樣的作用呢？

三、google hacking常見的攻擊規律：

google hacking主要是發現那些公告檔案，安全漏洞，錯誤資訊，口令檔案，使用者檔案，演示頁面，登入頁面，安全檔案，敏感目錄，商業資訊，漏洞主機， **伺服器檢測等資訊。攻擊規律有：

intitle：

intitle語法通常被用來搜尋**的後台、特殊頁面和檔案，通過在google中搜尋intitle:登入、intitle:管理就可以找到很多**的後台登入頁面。此外，intitle語法還可以被用在搜尋檔案上，例如搜尋intitle:"indexof"etc/shadow就可以找到linux中因為配置不合理而洩露出來的使用者密碼檔案。

inurl：

搜尋特殊url：

通過inurl語法搜尋特殊url，我們可以找到很多**程式的漏洞，例如最早iis中的uncode目錄遍歷漏洞，我們可以構造inurl:／winnt／system32／cmd exe?／c+dir這樣的關鍵字進行搜尋，不過目前要搜尋到存在這種古董漏洞的**是比較困難的。再比如前段日子很火的上傳漏洞，我們使用inurl:upload.asp或inurl:upload_soft.asp即可找到很多上傳頁面，此時再用工具進行木馬上傳就可以完成入侵。

intext：

intext的作用是搜尋網頁中的指定字元，這貌似在google hack中沒有什麼作用，不過在以intext:to parent directory為關鍵字進行搜尋後，我們會很驚奇的發現，無數**的目錄暴露在我們眼前。我們可以在其中隨意切換目錄，瀏覽檔案，就像擁有了乙個簡單的webshell。形成這種現象的原因是由於iis的配置疏忽。同樣，中文iis配置疏忽也可能出現類似的漏洞，我們用intext:轉到父目錄就可以找到很多有漏洞的中文**。

filetype：

site：

黑客使用site，通常都是做入侵前的資訊收集。site:target.com來獲取相關網頁，從中提取有用的資料。site語法可以顯示所有和目標**有聯絡的頁面，從中或多或少存在一些關於目標**的資料，這對於黑客而言就是入侵的突破口，是關於目標**的乙份詳盡的報告。

語法組合，威力加倍

雖然上文中介紹的這幾個語法能各自完成入侵中的一些步驟，但是只使用乙個語法進行入侵，其效率是很低下的。google hack的威力在於能將多個語法組合起來，這樣就可以快速地找到我們需要的東西。下面我們來模擬黑客是如何使用google語法組合來入侵乙個**的。

登入後台管理：

5、利用其他漏洞：

最後：給大家推薦乙個**：exploit db上有很多大佬總結分享的構造語句，感興趣的同學可以去看下。

參考文章：

Google Hacking語法總結

Google Hacking搜尋語法

Googlehacking 資訊收集

Google Hacking基本用法

Google Hacking語法總結

Google Hacking搜尋語法

Googlehacking 資訊收集

Google Hacking基本用法

相關推薦