Google hacking
介绍
Google dorking(又名)是一种黑客技术,它使用Google搜索和其他Google应用程序在网站使用的配置和计算机代码中发现安全漏洞。
语法
1.查询是不区分大小写(OR在表示布尔含义时一定要大写)
2.*在谷歌搜索的时候只能当做一个单词使用
3.谷歌有32词的敏感搜索限制(当然可以通过*代替某些单词突破这种限制)
4.短语搜索要带上单引号
5.AND对谷歌来说是多余的,谷歌会自动查询你输入的一切
6.谷歌会忽略特别常见的字符,但是前面加上"+“强制搜索(+后面不能有空格)
7.NOT可以使用”-"(减号代替)
8.布尔查询OR/"|"
9.运算符解释
运算符 | 解释 |
intitle: | 按标题搜索 |
inurl: | 链接搜索返回那些网址url里面包含你指定关键词的页面 |
site: | 指定域名 |
filetype: | 指定文件类型即后缀搜索 |
intext: | 寻找页面内容指定的关键字 |
Index of | 以目录浏览的web网站 |
phonebook: | 查询美国街道地址和电话号码信息 |
实战
管理
intext:管理
filetype:mdb
inurl:/admin
site:http://daqiushen.com inurl:login
site:http://daqiushen.com intitle:后台
site:http://daqiushen.com intext:管理
注射点
site:cn inurl:asp?id=
site:cn inurl:php?id=
查看开发脚本
site:http://daqiushen.com filetype:asp
site:http://daqiushen.com filetype:php
site:http://daqiushen.com filetype:jsp
上传漏洞
site:http://daqiushen.com inurl:file
site:http://daqiushen.com inurl:load
常见路径
管理后台:
admin
ad_login
ad_manage
admin_index
admin_admin
admin/index
admin/default
admin/manage
admin/login
admin_login
login_admin
login/login
login/index
login/super
houtai
houtaiguanli
htgl
adminlogin
adminuserlogin
adm_login
chklogin
chkadmin
users
adduser
admin_user
edituser
adminadduser
bbs/admin_index.asp
article/admin/admin.asp
admin/aspcheck.asp
index_admin
inc/config.asp
eWebEditor/admin_login.asp
editor/admin_login.asp
login/admin/admin.asp
houtai/admin.asp
guanli/admin.asp
denglu/admin.asp
admin/login.asp
admin_index.asp
admin_login/admin.asp
admin_login/login.asp
admin/manage/admin.asp
admin/manage/login.asp
admin/default/admin.asp
admin/default/login.asp
member/admin.asp
member/login.asp
administrator/admin.asp
administrator/login.asp
上传漏洞:
phpmyadmin
include/config.inc.php
include/config.php
lib/config.php
/admin/upfile.asp #管理员后台上传页面
/admin/upload.asp #管理员后台上传页面
/eWebEditor/upload.asp #eWebEditor上传页面
/editor/upload.asp #eWebEditor上传页面
hacking 地址
GHDB 谷歌黑客数据库:https://www.exploit-db.com/google-hacking-database/
pentest-tools:https://pentest-tools.com/information-gathering/google-hacking#