Google hacking 谷歌駭侵法
基礎知識
「谷歌駭侵法」是指利用谷歌搜索引擎中的高級操作符,在搜索結果中定位特定的文本字符串。 一些比較流行的例子是找到易受攻擊的 Web 應用程序的特定版本。 帶有 intitle: admbook intitle: Fversion filetype: php 的搜索查詢將定位所有包含該特定文本的網頁。 應用程序的默認安裝通常會在它們所服務的每個頁面中包含它們的運行版本,例如,「由 XOOPS 2.2.3 Final 提供支持」。 一個甚至可以檢索的用戶名和密碼,列出從 頭版的微軟 服務器輸入給microscript在谷歌搜索領域:
設備連接到互聯網上可以找到。 搜索字符串如
將找到公開網絡攝像頭。 另一個有用的搜索是 intitle: index.of 後面跟着一個搜索關鍵字。 這可以給出服務器上的文件列表。 例如,intitle: index.of MP3將提供各種服務器上可用的所有 MP3文件。 有許多類似的高級運算符可用於利用不安全的網站:假如對我說的高級運算符和谷歌精確搜索的方法不太了解的人可以看看這兩期: 【提高google搜索精度的小技巧-哔哩哔哩】 https://b23.tv/nJrHJsJ 【Google Chrome五个十分方便的搜索方法-哔哩哔哩】 https://b23.tv/cujZkhh 再看下面的入門篇。 入門
Google hacking 谷歌駭侵法
駭客去入侵一個網站的時候往往需要蒐集它的很多信息,這其中包括利用網站漏洞,社工,還有就是用搜索引擎進行搜索,而常被我們利用的搜索網站谷歌就是一個非常好的信息搜索工具,【Google不翻牆用不了,建議可以用穀粉搜尋http://gfsoso.99lb.net/】,下面就跟大家普及谷歌搜尋的技巧。
Google Hacking的意思原指利用Google Chrome搜尋引擎搜尋資訊來進行入侵的技術與行為;現指利用各種搜尋引擎搜尋資訊來進行入侵的科技與行為
Google進階自訂搜尋語法如下:
intitle:表示搜尋在網頁標題中出現第一個關鍵字的網頁。
例如”intitle:黑客技術 “將返回標題中出現”黑客技術 “的所有連結。
用”allintitle:黑客技術 Google”則會傳回網頁標題中同時含有 “黑客技術” 和 “Google” 的連結。
intext:傳回網頁的文字中出現關鍵字的網頁。用allintext:搜尋多個關鍵字。
inurl:回傳訊息的第一部分。
site:搜尋某個指定的網路。
filetype:搜尋特定文章(as.doc.pdf.ppt)。拜訪客戶的特定文本,範例:.pwl口頭訂單文本、.tmp時間文本、.cfg安排文本、.ini系統文本、.hlp支援文本、.dat號碼設定文本、.log西文本、.par交換文本以及很快。
link:表示回傳所有連結到某個位址的網頁。
related:返回連接到類似指定網站的網頁。
cache:搜尋Google快取中的網頁。
info:表示搜尋網站的摘要。
例如”info:whu.edu.cn”僅得到一個結果:
phonebook:搜尋電話號碼簿,將會返回美國街道地址和電話號碼清單,這無疑給挖掘個人資訊的駭客帶來極大的便利。
同時還可以得到住宅的全面信息,
結合Google earth將會得到更詳細的資訊。
相應的還有更小的分類搜尋:
rphonebook:僅搜尋住宅用戶電話號碼簿;
bphonebook:僅搜尋商業的電話號碼簿。
另外,還有一些不常用的搜尋指令。
例如列表如下:
author:搜尋新聞群組貼文的作者。
group:搜尋Google群組搜尋字彙貼文的題目。
msgid:搜尋識別新聞群組貼文的Google群組資訊識別碼和字串。
insubject:搜尋Google群組的標題行。
stocks:搜尋有關一家公司的股票市場資訊。
define:傳回一個搜尋詞彙的定義。
inanchor:搜尋一個HTML標記中的一個連結的文字表現形式。
Google hacking常見的攻擊規律
Google hacking主要是發現那些公告文件,安全漏洞,錯誤信息, 口令文件, 用戶文件, 演示頁面,登錄頁面, 安全文件, 敏感目錄,商業信息,漏洞主機, 網站服務器檢測等資訊。攻擊規律有:
利用”Index of”語法檢索出網站的活動索引目錄
Index 就是主頁伺服器所進行操作的索引目錄。駭客常利用目錄來取得密碼檔案和其他安全檔案。常用的攻擊語法如下: Index of /admin 可以挖掘到安全意識不強的管理員的機密文件: 黑客往往可以快速地提取他所要的信息其他Index of 語法列表如下:
利用”inurl:”尋找易攻擊的網站和伺服器
