搜索引擎hacking语法整理
在进行渗透测试中的信息收集环节中,搜索引擎的搜索语法是非常有用的“捕鱼技”。
常用的搜索关键字
关键字 | 说明 |
---|---|
site | 在指定的网站中进行搜索 |
intitle | 搜索标题中含有关键字的网页 |
inurl | 搜索URL中存在的关键字网页 |
intext | 搜索正文中含有关键字的网页 |
filetype | 搜索指定文件类型 |
-关键字 | 筛去搜索结果中包含“关键字”的网页 |
在搜索引擎中,使用空格拼接的关键字,默认是与(&/and)逻辑关系。使用|拼接,可以将关键字的逻辑关系变成或逻辑关系。并且在关键字上加上双引号可以表示强调,是搜索时必须要满足的条件。
比如,搜索时为了强调时间,可以使用关键字+"2019"
常见的使用方式
以下的使用技巧只是举例,仅供参考与启发,还有更多的搜索语句需要个人去总结与整理,并根据具体的情况去使用或构造搜索语句,才能事半功倍
信息收集
filetype:txt 学号
filetype:xls 身份证
filetype:doc 邮箱 site:xxx.com
子域名收集(不要加www)
site:xxx.com
SQL注入点
inurl:asp?id=
搜索网站后台
site:xxx.com inurl:admin|back|manage|manager|login|admin_login|login_admin|system|boss|master
site:xxx.com intitle:管理|登陆|后台
site:xxx.com 管理|登陆|后台|用户名|密码|验证码|系统|账号|manage|admin|login|system
搜索敏感页面
# 查找上传页面
site:xxx.com inurl:file
site:xxx.com inurl:load
# 查找编辑器页面
site:xxx.com inurl:fckeditor
site:xxx.com inurl:ewebeditor
搜索重要文件
site:xxx.com inurl:robots.txt
site:xxx.com inurl:txt
site:xxx.com filetype:mdb
site:xxx.com filetype:ini
搜索CMS网站
技术支持:XXXX
powered by
搜索目录浏览漏洞
目录浏览漏洞,由服务器配置不当,导致没有设置默认页面的目录会将其目录下的所有文档列出
index of
to parent diretory
转到父目录