`
zpball
  • 浏览: 916753 次
  • 性别: Icon_minigender_1
  • 来自: 北京
社区版块
存档分类
最新评论

google hack技术资料

阅读更多
利用google完全是可以对一个站点进行信息收集和渗透的,下面我们用google对特定站点进行一次测试。www.xxxx.com是全国著名大学之一,一次偶然的机会我决定对其站点进行一次测试(文中所涉及该学校的信息均已经过处理,请勿对号入座:)
google常用的几个搜索命令
 
ntitle:搜索网页标题中包含有特定字符的网页。输入你想搜索的字符,就可以把带有你想搜索字符的网页标题搜索出来。
inurl:搜索包含有特定字符的URL。输入你想搜索的特定字符,就可以把带有你想搜索字符的网页链接搜索出来。
intext:搜索网页正文内容中的指定字符,这个语法类似我们平时在某些网站中使用的“文章内容搜索”功能。
Filetype:搜索指定类型的文件。将返回所有以定类型的结尾的文件URL。
Site:找到与指定网站有联系的URL。所有和这个网站有联系的URL都会被显示。         这些就是Google的常用语法,也是Google Hack的必用语法。虽然这只是Google语法中很小的部分,但是合理使用这些语法将产生意想不到的效果。


    首先用google先看这个站点的一些基本情况(一些细节部分就略去了): 
site:xxxx.com   
    从返回的信息中,找到几个该校的几个系院的域名: 
http://a1.xxxx.com 
http://a2.xxxx.com
http://a3.xxxx.com 
http://a4.xxxx.com 
    顺便ping了一下,应该是在不同的服务器.(想想我们学校就那一台可怜的web服务器,大学就是有钱,汗一个)。学校一般都会有不少好的资料,先看看有什么好东西没:
site:xxxx.com filetype:doc   
得到N个不错的doc。先找找网站的管理后台地址: 
site:xxxx.com intext:管理  
site:xxxx.com inurl:login 
site:xxxx.com intitle:管理 
site:heimian.com intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|manage|admin|login|system
site:heimian.com inurl:login|admin|manage|manager|admin_login|login_admin|system
site:heimian.com intitle:管理|后台|登陆|
site:heimian.com intext:验证码

超过获得2个管理后台地址:  
http://a2.xxxx.com/sys/admin_login.asp 
http://a3.xxxx.com:88/_admin/login_in.asp
还算不错,看看服务器上跑的是什么程序:
site:a2.xxxx.com filetype:asp 
site:a2.xxxx.com filetype:php  
site:a2.xxxx.com filetype:aspx 
site:a3.xxxx.com filetype:asp 
site:....... 
...... 
a2服务器用的应该是IIS,上面用的是asp的整站程序,还有一个php的论坛 
a3服务器也是IIS,aspx+asp。web程序都应该是自己开发的。有论坛那就看看能不能遇见什么公共的FTP帐号什么的: 
site:a2.xxxx.com intext:ftp://*:*  g,G{% dGsk 
没找到什么有价值的东西。再看看有没有上传一类的漏洞:
site:a2.xxxx.com inurl:file 
site:a3.xxxx.com inurl:load  
在a2上发现一个上传文件的页面:  
http://a2.xxxx.com/sys/uploadfile.asp 
用IE看了一下,没权限访问。试试注射,
site:a2.xxxx.com filetype:asp 
得到N个asp页面的地址,体力活就让软件做吧,这套程序明显没有对注射做什么防范,dbowner权限,虽然不高但已足矣,back a shell我不太喜欢,而且看起来数据库的个头就不小,直接把web管理员的密码暴出来再说,MD5加密过。一般学校的站点的密码都比较有规律,通常都是域名+电话一类的变形,用google搞定吧。
site:xxxx.com    //得到N个二级域名  
site:xxxx.com intext:*@xxxx.com  //得到N个邮件地址,还有邮箱的主人的名字什么的 
site:xxxx.com intext:电话     //N个电话 
把什么的信息做个字典吧,挂上慢慢跑。过了一段时间就跑出4个帐号,2个是学生会的,1个管理员,还有一个可能是老师的帐号。登陆上去: 
name:网站管理员   b
pass:a2xxxx7619    //说了吧,就是域名+4个数字 
要再怎么提权那就不属于本文讨论访问了,呵呵,到此为止。
分享到:
评论

相关推荐

    google hack 技术详讲

    语法 利用Google的语法我们可以做很多的事情,...目前黑客利用Google Hack技术来进行入侵或资料收集的时候有以下几点: 在入侵之前,可以利用Google Hack技术进行信息收集,典型的有查找网站后台和网站拓扑结构等等。

    Google_Hack技术_搜索技术

    Google_Hack技术_搜索技术

    Google Hack V2.0.rar

    Google Hack技术就是利用这些信息,通过构造特定的搜索查询,如"Dorks"(黑客查询语句),来寻找可能存在的安全漏洞。例如,使用特定的关键词组合可以定位到公开的数据库、未授权的FTP目录或者存在SQL注入漏洞的页面...

    google HACK

    Google HACK是指使用Google搜索引擎进行高级搜索的技术。这是一种利用Google提供的各种搜索参数和操作符来实现特定搜索目的的方法。通过使用Google HACK技巧,用户能够更精确地找到所需的信息,例如排除某个关键词的...

    google hack全套软件

    在IT安全领域,"Google Hack"一词通常指的是利用Google搜索引擎来发现网络中的安全漏洞或敏感信息的一种技术。这种技术不涉及非法入侵,而是通过公开可用的信息来评估网络安全。以下是对压缩包文件中各组件的详细...

    google hack 电子书

    总体而言,《Google Hack 电子书》是一本非常实用的参考资料,它不仅向读者提供了深入理解Google搜索引擎和相关服务的技巧,而且也为希望有效利用Google进行搜索、研究和数据分析的人士提供了宝贵的指导。...

    谷歌搜索技巧与谷歌Hack

    谷歌搜索技巧与谷歌Hack是网络安全领域的一个重要话题,它揭示了如何利用谷歌的强大搜索功能来获取特定信息,包括但不限于安全漏洞、公开数据和网络结构。谷歌的搜索算法和语法提供了高级搜索选项,使得用户能够更...

    Google Hack V2.0

    **Google Hack V2.0详解** Google Hack,也被称为Google Hacking或...掌握和合理应用Google Hack技术,对于保护网络安全和个人隐私具有重要意义。然而,同时也需要意识到其潜在的滥用风险,遵循合法和道德的使用原则。

    hack测试题hack 测试题 基本防HACK安全技术测试

    hack 测试题 基本防HACK安全技术测试

    google hack database(最新版本)

    "google hack database(最新版本)"是一个集合了从早期到2019年3月7日所有已知的谷歌黑客语法示例的资源库。 在网络安全领域,了解谷歌黑客技术是至关重要的,因为它可以帮助防御者识别和修复潜在的公开暴露的信息...

    GooGle Hack

    在网络安全与信息检索领域,“Google Hack”是指利用Google搜索引擎的强大功能来发现网络上存在的安全漏洞、敏感信息或非公开数据的一种技术。本篇文章将详细介绍一系列常用的Google搜索技巧(即Google Hacking技巧...

    google hack v2.0

    【标题】"google hack v2.0" 是一个专门用于网络安全领域的工具,它基于Google搜索引擎,帮助用户探测和发现潜在的网络安全漏洞。这个版本可能是该工具的升级版,增加了新的功能或优化了原有的搜索技术,使得对网站...

    国产的google_hack_1.0

    国产的Google Hack技术可以帮助我们发现潜在的数据泄露点,例如搜索包含敏感信息的文件类型(如.csv、.txt),或者查找暴露的数据库连接字符串等,从而提醒相关机构加强数据保护。 5. **网络安全教育** "不懂学着...

    Google Hack V2.0汉化版

    googlehacking其实并算不上什么新东西,在早几年我在一些国外站点上就看见过相关的介绍,但是由于当时并没有重视这种技术,认为最多就只是用来找找未改名的mdb或者别人留下的webshell什么的,并无太大实际用途....

    google hack工具包集合

    包括扫描、蜘蛛、清扫等十二种工具。可以体会谷歌的强大威力,及掌握一些常见的网络技术与技巧。

    googlehack.pdf

    **Google Hacking**是一种利用搜索引擎(如Google)的功能来查找网站上的安全漏洞或敏感信息的技术。这种技术被广泛应用于渗透测试、网络安全评估以及信息收集等领域。通过精心构造搜索查询语句,攻击者能够定位到...

    googlehack视频

    5. **网站漏洞探测**:通过Google Hack技术发现网站的SQL注入、跨站脚本(XSS)和其他常见漏洞。 6. **安全实践**:了解如何防止自己的网站成为Google Hack的目标,包括正确配置Web服务器、定期更新软件、安全编码...

    GOOGLE HACK

    谷歌黑客(Google Hacking)是一种技术,通过巧妙地利用谷歌搜索引擎来发现公开但可能未被广泛知悉的信息,包括安全漏洞、敏感数据或其他有价值的信息。这个主题对于网络安全专业人士、研究人员以及对网络隐私和安全...

    Google Hack-开源

    标题中的“Google Hack-开源”指的是一个开源项目,它利用Perl编程语言开发了一套工具,目的是通过Google的公开API来挖掘和利用搜索引擎的功能。这个项目可能是为了帮助网络安全专业人士或者研究人员发现网络上的...

Global site tag (gtag.js) - Google Analytics