Google Hacking

常见搜索引擎Google Hacking语法整理

GoogleHacking常用语法

1、intext：（仅针对Google有效） 把网页中的正文内容中的某个字符作为搜索的条件

2、intitle：把网页标题中的某个字符作为搜索的条件

3、cache：搜索搜索引擎里关于某些内容的缓存，可能会在过期内容中发现有价值的信息

4、filetype：指定一个格式类型的文件作为搜索对象

5、inurl：搜索包含指定字符的URL

6、site：在指定的(域名)站点搜索相关内容

7、Index of：　查找允许目录浏览的页面，比方说我想看看/admin目录下的文件（部分网站因为配置疏忽的原因，导致目录可以被所有人访问，目录的文件也可以被下载）

GoogleHacking其他语法

1、引号 ” ” 把关键字打上引号后，把引号部分作为整体来搜索
2、or 同时搜索两个或更多的关键字
3、link 搜索某个网站的链接 link:baidu.com即返回所有和baidu做了链接的URL
4、info 查找指定站点的一些基本信息　　

GoogleHackingDatabase:
google-hacking-databaseGoogleHacking典型用法(特定资产的万能密码也要积累)

漏洞搜索举例：

1.管理后台地址

site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | systemsite:target.com inurl:login | 

inurl:admin | inurl:manage | inurl:manager | inurl:admin_login | 

inurl:system | inurl:backendsite:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录

2.上传类漏洞地址

site:target.com inurl:filesite:target.com inurl:upload

3.注入页面

site:target.com inurl:php/asp?id=（批量注入工具、结合搜索引擎）
inurl:Show.asp?Id=等

4.编辑器页面

site:target.com inurl:ewebeditor

5.目录遍历漏洞

site:target.com intitle:index.of

6.SQL错误

site:target.com intext:"sql syntax near" | intext:"syntax error has occurred" | intext:"incorrect syntax near" | intext:"unexpected end of SQL command" | intext:"Warning: mysql_connect()" | intext:”Warning: mysql_query()" | intext:”Warning: pg_connect()"
phpinfo()
site:target.com ext:php intitle:phpinfo "published by the PHP Group"

7.配置文件泄露

site:target.com ext:.xml | .conf | .cnf | .reg | .inf | .rdp | .cfg | .txt | .ora | .ini

8.数据库文件泄露

site:target.com ext:.sql | .dbf | .mdb | .db 　　 日志文件泄露site:target.com ext:.log

9.备份和历史文件泄露

site:target.com ext:.bkf | .bkp | .old | .backup | .bak | .swp | .rar | .txt | .zip | .7z | .sql | .tar.gz | .tgz | .tar

10.公开文件泄露

site:target.com filetype:.doc | .docx | .xls | .xlsx | .ppt | .pptx | .odt | .pdf | .rtf | .sxw | .psw | .csv

11.邮箱信息

site:target.com intext:@target.comsite:target.com 邮件site:target.com email

12.社工信息

site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证

更多安全分享，请关注【安全info】微信公众号！