信息收集之Google Hacking的简单用法

最新推荐文章于 2024-07-07 11:47:35 发布
最新推荐文章于 2024-07-07 11:47:35 发布
阅读量4.8w 收藏 426
点赞数 101
分类专栏: 渗透测试 文章标签: php 数据库 sql
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36119192/article/details/84029809
版权

目录

Google Hacking

基本搜索

高级搜索

Index of

inurl

查找有可能存在SQL注入的网站

Google Hacking

Google Hacking 是利用谷歌搜索的强大,来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。

利用Google搜索我们想要的信息,需要配合谷歌搜索引擎的一些语法:

基本搜索

  • 逻辑与:and
  • 逻辑或: or 
  • 逻辑非: -
  • 完整匹配:"关键词" 
  • 通配符:* ?

高级搜索

intext:

寻找正文中含有关键字的网页,例如:  intext:后台登录   将只返回正文中包含  后台登录 的网页

intitle:

寻找标题中含有关键字的网页,例如:  intitle:后台登录   将只返回标题中包含 后台登录 的网页,intitle:后台登录  密码  将返回标题中包含黑客而正文中包含中国的网页

allintitle:

用法和intitle类似,只不过可以指定多个词,例如:  alltitle:后台登录 管理员   将返回标题中包含黑客 和中国的网页

inurl:

将返回url中含有关键词的网页:例如:inurl:Login   将返回url中含有 Login 的网页

查找管理员登录页面

查找后台数据库管理页面

allinurl:

用法和inurl类似,只不过可以指定多个词,例如:inurl:Login admin  将返回url中含有 Login 和 admin 的网页

site:

指定访问的站点,例如: site:baidu.com  inurl:Login   将只在baidu.com 中查找url中含有 Login的网页

filetype:

指定访问的文件类型,例如:site:baidu.com filetype:pdf      将只返回baidu.com站点上文件类型为pdf的网页

link:

指定链接的网页,例如:link:www.baidu.com   将返回所有包含指向 www.baidu.com 的网页

related:

相似类型的网页,例如:related:www.xjtu.edu.cn  将返回与 www.xjtu.edu.cn  相似的页面,相似指的是网页的布局相似

cache:

网页快照,谷歌将返回给你他存储下来的历史页面,如果你同时制定了其他查询词,将在搜索结果里以高亮显示,例如:cache:www.hackingspirits.com  guest  ,将返回指定网站的缓存,并且正文中含有guest

info:

返回站点的指定信息,例如:info:www.baidu.com   将返回百度的一些信息

define:

返回某个词语的定义,例如:define:Hacker  将返回关于Hacker的定义

phonebook:

电话簿查询美国街道地址和电话号码信息。例如:phonebook:Lisa+CA  将返回名字里面包含Lisa并住在加州的人的所有名字

查找网站后台

  • site:xx.com intext:管理
  • site:xx.com inurl:login
  • site:xx.com intitle:后台

查看服务器使用的程序

  • site:xx.com filetype:asp
  • site:xx.com filetype:php
  • site:xx.com filetype:jsp
  • site:xx.com filetype:aspx

查看上传漏洞

  • site:xx.com inurl:file
  • site:xx.com inurl:load

Index of

利用  Index of  语法去发现允许目录浏览的web网站,就像在本地的普通目录一样。下面是一些有趣的查询:

  • index of /admin
  • index of /passwd
  • index of /password
  • index of /mail
  • "index of /" +passwd
  • "index of /" +password.txt
  • "index of /" +.htaccess
  • "index of /root"
  • "index of /cgi-bin"
  • "index of /logs"
  • "index of /config"

inurl

而上面这些命令中用的最多的就是 inurl: 了,利用这个命令,可以查到很多意想不到的东西

  • 利用 allinurl:winnt/system32/ 查询:列出的服务器上本来应该受限制的诸如“system32” 等目录,如果你运气足够好,你会发现“system32” 目录里的“cmd.exe” 文件,并能执行他,接下来就是提升权限并攻克了。
  • 查询 allinurl:wwwboard/passwd.txt  将列出所有有“WWWBoard Password vulnerability”漏洞的服务器,阅读更多请参见下面链接。
  • 查询  inurl:.bash_history  将列出互联网上可以看见 “inurl:.bash_history” 文件的服务器。这是一个命令历史文件,这个文件包含了管理员执行的命令,有时会包含一些敏感信息比如管理员键入的密码。
  • 查询 inurl:config.txt  将看见网上暴露了“inurl:config.txt”文件的服务器,这个文件包含了经过哈希编码的管理员的密码和数据库存取的关键信息。

还有一些其他一些使用“inurl:”和“allinurl:”查询组合的例子

  • inurl:admin filetype:txt
  • inurl:admin filetype:db
  • inurl:admin filetype:cfg
  • inurl:mysql filetype:cfg
  • inurl:passwd filetype:txt
  • inurl:”wwwroot/*.”
  • inurl:adpassword.txt
  • inurl:webeditor.php
  • inurl:file_upload.php
  • inurl:gov filetype:xls “restricted”
  • index of ftp +.mdb allinurl:/cgi-bin/ +mailto

查找有可能存在SQL注入的网站

inurl:id=1

 如果想跟我一起讨论的话,就快加入我的知识星球吧。星球里有一千多位同样爱好安全技术的小伙伴一起交流!知识星球 | 深度连接铁杆粉丝,运营高品质社群,知识变现的工具

更多关键字:google hack 之 sql注入

谢公子
关注
专栏目录
红队攻防渗透技术实战流程:google hacking语法具体语句示例
HACKONE的博客
03-23 271
site:target.com intext:管理 | 后台 | 后台管理 | 登陆 | 登录 | 用户名 | 密码 | 系统 | 账号 | login | system。site:target.com intitle:管理 | 后台 | 后台管理 | 登陆 | 登录。site:target.com intitle:账号 | 密码 | 工号 | 学号 | 身份证。利用google可以搜索一些网站的敏感信息,语法如下。利用google搜索C段服务器信息。利用goole搜索敏感信息。完整匹配:“关键词”
google hacking
10-21
googlehacking搜索技巧,不仅仅局限于google搜索,百度同样适用
简单介绍Google Hack
最新发布
2301_79882145的博客
07-07 830
Google 黑客攻击,有时也称为 Google dorking,是攻击者利用高级 Google 搜索技术使用的一种信息收集技术。Google 黑客搜索查询可用于识别 Web 应用程序中的安全漏洞、收集任意或单个目标的信息、发现泄露敏感信息的错误消息、发现包含凭据和其他敏感数据的文件。当然,对可以通过 Google 搜索发现的漏洞进行常规的手动测试是无用的,而且非常耗时。搜索范围还可以限制在特定网站上的页面,也可以搜索所有网站上的特定信息,并列出包含该信息的网站列表。
Google Hacking
煮酒闲谈
08-26 1001
Google Hacking0×00摘要Google黑客搜索查询可用于识别Web应用程序中的安全漏洞,收集任意或单个目标的信息,发现泄露敏感信息的错误消息,发现包含凭据和其他敏感数据的文件。 0×01Resource:Google黑客数据库(GHDB) 搜索Google Hacking数据库或浏览GHDB类别 https://www.exploit-db.com/google-hacking-
信息收集 | 利用Google搜索语法进行Google Hacking
以梦为马,不负韶华
11-09 3988
文章目录简介基本语法高级语法1. 指定标题2. 指定正文3. 指定网页链接4. 指定域名5. 指定外链6. 查找相似网页7. 查询网页缓存8. 指定网页类型9. 指定目录名组合使用 简介 Google Hacking 指的是利用谷歌搜索引擎收集信息来进行入侵的技术或行为 基本语法 AND,用来连接两个关键字,搜索时必须包含被连接的两个关键字 OR或者|,用来连接两个关键字,搜索时只需要存在任何一个关键字即可返回该网页 +:搜索时要求搜索的网页中必须出现该关键字 -:搜索时去除包含该关键字的网页 "":搜
渗透测试(信息收集)-- Google hacking
zjdda的博客
05-17 1558
目录1 Google Hacking2 具体使用案例 1 Google Hacking Google Hacking 是利用谷歌搜索的强大,来在浩瀚的互联网中搜索到我们需要的信息。轻量级的搜索可以搜素出一些遗留后门,不想被发现的后台入口,中量级的搜索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。 利用Google搜索我们想要的信息,需要配合谷歌搜索引擎的一些语法: 基本搜索 逻辑与:and
渗透测试 ( 2 ) --- 渗透测试系统、靶机、GoogleHacking、kali工具
墨鱼菜鸡
07-11 2375
操作系统:https://zhuanlan.zhihu.com/p/162865015 1、基于 Windows、Linux、Android 的渗透测试系统 1.1 基于 Linux 的系统 Kali:https://www.kali.org/get-kali/Parrot Security OS:Parrot Securitybackbox:ht...
Google-Hacking
04-09
本书为英文版,为谷歌的研究人员所著,详细的介绍了谷歌研究人员的黑客技术。
Google hacking技术
12-22
Google hacking技术
红队攻防渗透技术实战流程:红队目标信息收集之基础资产信息收集
HACKONE的博客
03-23 1059
在红队渗透测试中,客户的合作至关重要,他们会提供目标资产的基本信息作为初始攻击面。红队的行动范围通常是由客户明确授权界定的,这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务,可能涵盖但不限于对主域名下的各个子域名进行深度侦查,探究子公司间的网络互联情况,以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点,以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中,红队始终保持专业操守,确保所有行动均在合法、合规的前提下进行,并以增强客户
Google hacking
qq_43371350的博客
04-11 3391
如何使用Google hacking
google Hack
子曰小玖的博客
02-17 3110
intitle:搜索标题 inurl:搜索url intext:搜索网页正文内容 + 连接 site: 在某网站下搜寻 site:www.any.com+ inurl:admin intext: to parent directory + intext : mdb filetype: ppt,asp,php intext:to parent directory in...
谷歌黑客(google hacking)
若谷的博客
11-12 619
免责声明由于传播、利用本公众号CSJH网络安全团队所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号CSJH网络安全团队及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉,谢谢!谷歌黑客,也称为Google Hacking,是一种利用搜索引擎的高级搜索功能来寻找敏感信息的黑客技术。这种技术通常用于非法入侵计算机系统,获取未授权访问的资...
google hacking常用语法
06-28
### 回答1: Google Hacking 是指使用 Google 搜索引擎的高级搜索语法,来寻找互联网上的敏感信息和漏洞的技术。以下是一些常用的 Google Hacking 语法: 1. site:限制搜索结果为某个网站或域名下的页面; 2. filetype:搜索特定类型的文件,如 PDF、DOC、XLS 等; 3. intitle:搜索包含指定关键词在标题中的页面; 4. inurl:搜索包含指定关键词在 URL 中的页面; 5. intext:搜索包含指定关键词在页面正文中的页面; 6. cache:查看 Google 搜索引擎缓存的网页内容; 7. link:搜索某个网站的链接; 8. related:搜索与某个网站相关的其他网站; 9. info:查看某个网站的基本信息,包括 IP 地址、Whois 信息等。 需要注意的是,Google Hacking 语法可以帮助用户快速定位需要的信息,但同时也可能暴露网站的敏感信息,因此需要谨慎使用。 ### 回答2: Google Hacking是指利用Google搜索引擎的高级搜索语法来查找目标网站和相关信息的一种技术。以下是常用的Google Hacking语法: 1. intitle: 可以搜索出标题中含有指定关键词的页面,例如:intitle:”登录” 2. inurl: 可以搜索出网址中含有指定关键词的页面,例如:inurl:”admin” 3. filetype: 可以搜索出指定文件类型的文件,例如:filetype:pdf 4. site: 可以搜索出指定网站域名的页面,例如:site:”example.com” 5. intext: 可以搜索出页面中含有指定关键词的页面,例如:intext:”用户名” 6. link: 可以搜索出指向指定网站的链接,例如:link:”example.com” 7. cache: 可以搜索出Google搜索引擎缓存的页面,例如:cache:example.com 8. related: 可以搜索出与指定网站相关的网站,例如:related:example.com 9. info: 可以搜索出指定网站的相关信息,例如:info:example.com 除了以上的语法,Google Hacking还可以使用一些高级语法,例如使用算术符号来搜索数字范围、使用“?”号来代替任何单个字符等等。Google Hacking的语法非常灵活,只要善于利用,就能快速找到目标网站和相关信息。但同时需要注意,这种技术也容易被黑客利用来找到漏洞并进行攻击,因此作为站长或网民,我们也需要加强网站安全意识和防护措施,避免被攻击和侵犯。 ### 回答3: Google Hacking是利用Google搜索引擎的强大搜索功能,来寻找并获取有价值的信息的方法。在进行Google Hacking时,常用的语法包括以下几种: 1. 搜索特定的文件格式:filetype:pdf / filetype:doc / filetype:xls 等等。这种语法可用于查找特定类型的文档或文件,例如搜索PDF文件时,输入filetype:pdf,会返回所有的PDF文件。 2. 搜索特定站点:site:www.example.com。使用这种语法可以搜索特定的网站,想要查询某个网站所有的页面时,只需要输入site:www.example.com。 3. 搜索精确的短语:” ”或者intitle:。用英文双引号来进行精确匹配,或者使用intitle:键入关键字,然后在该网页的标题中搜索该关键字。 4. 搜索定义的关键词:define:几个关键词。在搜索框中输入define:,然后加上要搜索的单词,就可以搜索该词的定义信息。 5. 查看页面的缓存:cache:url。该语法可以查看Google缓存的页面,在Google结果页面中选择“快照”按钮或者在搜索框中输入cache:url。 6. 搜索相关的网站:related:www.example.com。通过使用related:加上网站名称,可以找到与该网站相关的其他网站。 7. 搜索某个时间段:daterange:startdate-enddate。该语法用于搜索网页发布的时间,只需要在搜索框中键入daterange:startdate-enddate来确定日期范围即可。 8. 使用OR和AND:OR和AND都可以用于组合关键词,如dogs OR cats。 在实践中,人们可以将以上语法进行组合使用,以进行更精准、高效的搜索。但是需要注意:Google Hacking是一种合法的技术,但是在获取信息时一定要遵守相关的法律规定,不得侵犯他人的隐私。
评论 11
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

谢公子

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值