GoogleHacking实用语法
上一篇说了Google语法搜索能在攻防演练渗透测试中能破冰的一种信息收集方式。接下来介绍一下我日常测试中的常用语法。
推荐使用bing搜索引擎搜索 搜索网站的一些敏感目录和文件
必应 (bing.com)
1.
site 指定域名站点
inurl 搜索包含指定字符的URL,url中存在的路径内容
filetype/ext 后缀,指定一个格式类型的文件
intext 网页中的正文内容
intitle 网页标题
cache 内容的缓存
2.操作符,使用时操作符前后都要加空格
and 和
or 或
可利用的如下所示:
目录遍历漏洞
site:xxx.cn intitle:index.of
敏感信息泄露漏洞
site:xxx.cn intext:“手机号”
日志文件泄露
site:xxx.cn ext:log
pdf文件敏感泄露
site:xxx.cn ext:pdf “学号”
例如查询一下百度相关的注册界面
site:“baidu.com” intitle:"注册”
可自行拓展,需要自己的灵活思维大概率可搜到自己的目标。