谷歌语法和FOFA常用语法总结

最新推荐文章于 2024-03-14 18:00:00 发布
最新推荐文章于 2024-03-14 18:00:00 发布
阅读量1.7k 收藏 9
点赞数 1
分类专栏: Web网络安全 工具使用 文章标签: 经验分享 web安全 安全 搜索引擎 全文检索
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45983489/article/details/125164541
版权

谷歌语法

谷歌语法基础的符号:

  • “xxx”: 将要搜索的关键字用引号括起来
    (表示完全匹配,即关键词不能分开,顺序也不能变)

  • +:“xxx” +baidu.com
    搜索xxx与baidu.com 相关的内容

  • -:“xxx” -baidu.com
    搜索结果里面除去baidu.com 相关的内容

谷歌语法常用搜索参数:

site:指定域名,如:site:edu.cn 搜索教育网站

inurl:用于搜索包含的url关键词的网页,如:inurl:login 搜索网址中含有login的网页

intitle:搜索网页标题中的关键字,如:intitle:“index of /admin”

intext:搜索网页正文中的关键字,如:intext:登陆/注册/用户名/密码

filetype:按指定文件类型即文件后缀名搜索,如:filetpye:php/asp/jsp

查找后台

site:xx.com intext:管理|后台|登陆|用户名|密码|系统|帐号|admin|login|sys|managetem|password|username
site:xx.com inurl:login|admin|manage|member|admin_login|login_admin|system|login|user

查找sql注入漏洞

inurl:.php?id=23 公司
inurl:.asp?id=11

查找上传点:

site:xx.com inurl:file| uploadfile

查找敏感信息泄露

intitle:"Index of /admin"
intitle:"Index of /root"
intitle:"Index of /" +password.txt
intitle:phpinfo()或者inurl:phpinfo.php

查找未授权访问phpmyadmin

inurl:.php? intext:CHARACTER_SETS,COLLATIONS, ?intitle:phpmyadmin

FOFA查询语法

官方使用文档:https://fofa.so/help

常用语法:
1、domain= "qq.com" //搜索qq.com所有的子域名
2、host="edu.cn" //从url中搜索edu.cn
3、ip= "11.1.1.1" //搜索ip
4、server="apache" //搜索服务是apache的网站
5、os="windows" //搜素操作系统是windows的网站
6、port=3306 或者 protocol=="mysql" //搜索mysql数据库的网站
7、app="致远" //搜索致远oa办公系统搭建的网站
8、title="登陆" //从标题中搜索登陆
9、header="thinkphp" //从http的头里面搜thinkphp

华枝歌
关注
  • 1
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
fofa语法大全-各种高级语法
01-21
文档收集了网络中各种fofa高级语法
fofa指纹识别库(更新于2019)
11-19
fofa指纹识别库,更新于2019。 年长年少,开心就好;
亿赛通电子文档安全管理系统 SQL注入漏洞复现
最新发布
ZL_1618的博客
03-14 420
由于亿赛通电子文档安全管理系统/update.jsp处的ids参数处对传入的数据没有预编译和充足的校验,导致该接口存在SQL注入漏洞,未授权的攻击者可获取数据库敏感信息。
狮子鱼SQL注入漏洞复现
花开烟雨楼的博客
03-23 1296
狮子鱼CMS是一款管理系统。在 ApiController.class.php处 参数过滤存在不严谨,导致SQL注入漏洞。
【渗透整理】SQL注入篇(1)
SunnyCat
12-24 594
【渗透整理】DVWA SQL Injection (Blind) —等级:low DVWA可以自己搭建在本地主机进行学习测试(burp suite本地抓包的时候需要把127.0.0.1的默认不截取取消,否则自己抓不到自己,踩坑铭记),如果不想麻烦的话可以直接网上搜索人家搭建好的DVWA平台来使用,省时省力,还能看见很多的“道友”遗留的痕迹。 1、寻找测试主机: 网站 fafo.so 打开搜索DVW...
捷诚管理信息系统 SQL注入漏洞
败在我手中之敌,从来不会被我视为对手,我给你时间追赶,直至你遥望不见。
11-23 218
捷诚管理信息系统是一款功能全面,可以支持自营、联营到外柜租赁的管理,其自身带工作流管理工具,能够帮助企业有效的开展内部审批工作。
谷歌/FOFA搜索引擎使用
莫黎小天
01-21 3769
谷歌搜索引擎的使用 1.谷歌语法 利用搜索引擎在渗透测试过程搜索到特定页面的一种语法 “xxx” :将要搜索的关键字用引号括起来(表示完全匹配,即关键词不能分开,顺序也不能变) +:“xxx” +baidu.com 搜索xxx与baidu.com相关的内容 -: “xxx”-baidu.com 搜索结果里面除去baidu.com相关的内容 2.谷歌语法基础使用 site:指定域名,如:site:edu.cn inurl:用于搜索包含的url关键词的网页,如:inurl:login 搜索
信息收集之 子域名收集
MZLI_L的博客
08-19 1253
子域名收集 被动收集 被动收集: 被动收集指在不和目标产生交互的情况收集目标信息 常用方式 第三方平台收集,如百度、Google、fofa、Zoomeye之类的搜索引擎或者网络空间安全引擎。 第三方接口,如 站长工具、netcraft(主要查询国外域名)、dnsdb 由于是通过第三方平台获取信息,所以不会和目标产生任何的交互,所以隐蔽性很高 但是同时,其也存在信息时效性的问题。 示例 利用百度收集子域名 著名的Google hacker语法其实在诸多浏览器中也适用,通过构建精巧的语法语句,获取我们想要的
WEB安全SQL注入挖掘
信安是不可或缺的一部分!
02-18 1684
2021年OWASP发布漏洞威胁榜单,SQL注入从第一名下降到第三(https://owasp.org/Top10/),SQL注入是一种常见的Web攻击技术,通过构造恶意的SQL语句来破坏数据库安全。攻击者可以通过提交带有恶意代码的输入,例如网页表单,来控制数据库执行恶意语句。这样,攻击者可以访问敏感信息,修改数据,甚至删除整个数据库。为了防范SQL注入攻击,开发人员应该使用参数化查询或存储过程,并对用户输入进行严格的验证和过滤。这样可以确保用户输入不会被作为恶意代码注入到数据库中。
[ 漏洞挖掘基础篇四 ] 漏洞挖掘之 SQL 注入挖掘
qq_51577576的博客
06-01 3259
sql 注入挖掘
fofa搜索使用
weixin_42786460的博客
09-25 675
fofa搜索使用
寻找sql注入的网站的方法(必看)
09-09
下面小编就为大家带来一篇寻找sql注入的网站的方法(必看)。小编觉得挺不错的,现在就分享给大家,也给大家做个参考。一起跟随小编过来看看吧
Fofa-gui fofa快速采集工具
01-19
注:仅供学习使用,不能用于非法用途,大家可以根据需要下载。
fofa爬虫(无需会员,无需cookie或登录)
05-17
无需注册fofa或购买fofa会员(普通会员99/月,看你扛得住吗),本脚本基于时间戳进行爬虫,一般可爬取100个以上目标 选项: -h 帮助信息 -t 每爬取一页等待秒数,防止IP被ban,默认3秒 --to 爬取一页的超时时间 -k ...
一款基于fofa根据域名或fofa语法收集C段分布数量的工具.zip
01-03
用到go开发的项目源码、数据集
用友u8-cloud RegisterServlet SQL注入漏洞复现
fly夏天的博客
12-25 1170
用友U8 cloud是用友推出的企业上云数字化平台,该产品RegisterServlet接口处存在SQL注入漏洞,攻击者可通过该漏洞获取数据库权限。文章复现了该漏洞并提供了进一步利用的相关方案。并提供了官方的修复方案。
某学院系统sql注入到服务器沦陷(bypss)
蚁景网安学院
06-04 388
原创稿件征集邮箱:[email protected]:3200599554黑客与极客相关,互联网安全领域里的热点话题漏洞、技术相关的调查或分析稿件通过并发布还能收获200-800元不等的...
Fofa搜索技巧
热门推荐
qq_50854662的博客
10-10 1万+
Fofa搜索技巧(理论加实践的整理) 题记         最近在整理以前的知识,不过最近出现职业病了,打开fofa看站点就停不下来。我把常用fofa查询语句记录下来,方便查阅。钟馗之眼和他有区别也异曲同工。         https://fofa.so/         http://zoomeye.org        &
fofa特定搜索语法记录
u011975363的专栏
04-13 2339
致远OA:app=Yonyou-Seeyon-OA
如何用fofa的高级语法搜索蓝凌OA的相关资产
06-10
使用fofa的高级语法搜索蓝凌OA的相关资产,可以按照以下步骤进行操作: 1. 打开fofa网站(https://fofa.so/)并登录账号。 2. 在搜索框中输入以下高级语法进行搜索: app="蓝凌OA" && country="CN" 这里的高级语法包括应用程序名称(app)和IP地址所在国家(country)两个条件,其中“蓝凌OA”是指蓝凌科技开发的OA系统,“CN”是指IP地址所在的国家为中国。 3. 在搜索结果页面中,可以查看到与蓝凌OA相关的资产信息,包括IP地址、端口号、域名等。 需要注意的是,使用fofa搜索需要购买相应的会员才能进行高级搜索,而且搜索结果只是资产信息的搜集,不代表这些资产存在漏洞,使用时需要谨慎评估。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值