信息收集 (一)Google Hack & robots文件

最新推荐文章于 2023-05-28 16:07:22 发布
最新推荐文章于 2023-05-28 16:07:22 发布
阅读量551 收藏
点赞数
分类专栏: 渗透测试 文章标签: 信息安全 google+
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zdza_/article/details/104306725
版权

一、Google Hack

在渗透测试中,信息收集是尤为重要的一部分,甚至可以占到整个渗透的百分之六十至七十。可见掌握好信息收集的方法十分重要,那GoogleHacking作为常用且方便的信息收集搜索引擎工具,它是利用谷歌搜索强大,可以搜出不想被看到的后台、泄露的信息、未授权访问,更可怕的还有一些网站配置密码和网站漏洞等。掌握了Google Hacking基本使用方法,或许下一秒就是惊喜!

基本语法

intitle: 搜索标题
inurl: 搜索url
intext: 搜索网页正文内容
site: 与什么相关
filetype: 文件类型 ppt ,asp ,php,mdb

搭配符号

  • 把Google可能忽略的字列如查询范围
  • 把某个字忽略
    . 单一的通配符
  • 通配符,可代表多个字母
    “” 精确查找

常用语法

SQL注入页面:site:tw inurl:?id=1…100000 filetype:php
排除子域名: site:baidu.com -site:video.baidu.com
某网站登录页面:site:www.baidu.com intitle:“后台登陆”
目录遍历: intext:“index of”
用户名和密码文件:filetype:txt intext:username and password
指定端口网站: inurl:8443 -intext:8443
敏感文件 site:tw filetype:inc intext:mysql_connect
特定网站:intitle: “apache tomacat” inurl:8080
intext: to parent directory
intext: 转到父目录/转到父路径
asp 上传漏洞网页: inurl: upload.asp
搜索mdb文件: intext: to parent directory + intext : mdb

二、robots.txt

1、robots.txt是什么?

robots.txt 是一个纯文本文件,在设个文件中网站管理者可以声明该网站中不想被搜索引擎访问的部分,或者指定搜索引擎只收录指定的内容。
当一个搜索引擎(又称搜索机器人或蜘蛛程序)访问一个站点时,它会首先检查该站点根目录下是否存在robots.txt,如果存在,搜索机器人就会按照该文件中的内容来确定访问的范围;如果该文件不存在,那么搜索机器人就沿着链接抓取。

2、robots.txt的作用

1、引导搜索引擎蜘蛛抓取指定栏目或内容;
2、网站改版或者URL重写优化时候屏蔽对搜索引擎不友好的链接;
3、屏蔽死链接、404错误页面;
4、屏蔽无内容、无价值页面;
5、屏蔽重复页面,如评论页、搜索结果页;
6、屏蔽任何不想被收录的页面;
7、引导蜘蛛抓取网站地图;

读懂 robots.txt

1、User-agent:(定义搜索引擎)
示例:
User-agent: *(定义所有搜索引擎)
User-agent: Googlebot (定义谷歌,只允许谷歌蜘蛛爬取)
User-agent: Baiduspider (定义百度,只允许百度蜘蛛爬取)

不同的搜索引擎的搜索机器人有不同的名称,谷歌:Googlebot、百度:Baiduspider、MSN:MSNbot、Yahoo:Slurp。

2、Disallow:(用来定义禁止蜘蛛爬取的页面或目录)
示例:

Disallow: /(禁止蜘蛛爬取网站的所有目录 “/” 表示根目录下)
Disallow: /admin (禁止蜘蛛爬取admin目录)
Disallow: /abc.html (禁止蜘蛛爬去abc.html页面)
Disallow: /help.html (禁止蜘蛛爬去help.html页面)

3、Allow:(用来定义允许蜘蛛爬取的页面或子目录)
示例:

Allow: /admin/test/(允许蜘蛛爬取admin下的test目录)
Allow: /admin/abc.html(允许蜘蛛爬去admin目录中的abc.html页面)

两个通配符如下:
4、匹配符 “$”
$ 通配符:匹配URL结尾的字符
5、通配符 “*”
* 通配符:匹配0个或多个任意字符

在这里插入图片描述

注意事项

Disallow与Allow行的顺序是有意义的:
举例说明:

允许蜘蛛访问 /admin/ 目录下的seo文件夹

User-agent: *     Allow: /admin/seo/
Disallow: /admin/

如果Allow 和 Disallow 的顺序调换一下:

User-agent: *     Disallow: /admin/
Allow: /admin/seo/

蜘蛛就无法访问到 /admin/ 目录下的 seo 文件夹,因为第一个 Disallow: /admin/ 已匹配成功。

ZDZA_
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Kali Linux渗透基础知识整理(一):信息搜集
blotemj.blog.csdn.net
08-03 803
最近要给一些新人做培训,整理些东西,算不上什么太高端的内容,只是简单的整理下了,我觉得对于小白的话也还算是干货。 什么是信息收集: 收集渗透目标的情报是最重要的阶段。如果收集到有用的情报资料的话,可以大大提高对渗透测试的成功性。收集渗透目标的情报一般是对目标系统的分析,扫描探测,服务查点,扫描对方漏洞,查对方系统IP等,有时候渗透测试者也会用上“社会工程学”。渗透测试者会尽力搜集目标系统的配置...
红队攻防渗透技术实战流程:红队目标信息收集之基础资产信息收集
最新发布
HACKONE的博客
03-23 1032
在红队渗透测试中,客户的合作至关重要,他们会提供目标资产的基本信息作为初始攻击面。红队的行动范围通常是由客户明确授权界定的,这其中包括但不限于对主域名、下属子公司以及整个供应链体系中的相关资产进行安全测试。红队需严格按照约定的边界执行任务,可能涵盖但不限于对主域名下的各个子域名进行深度侦查,探究子公司间的网络互联情况,以及深入分析供应链各环节的软硬件设施、业务流程和数据交换点,以全方位评估和模拟真实攻击场景下的安全风险。在执行过程中,红队始终保持专业操守,确保所有行动均在合法、合规的前提下进行,并以增强客户
google hack的详细用法
03-01
详细讲述了google hack的常用技巧
信息收集之谷歌hacker
qq_49091880的博客
03-25 567
一、谷歌浏览器插件收集信息 1.Wappalyzer插件 步骤:谷歌商店安装---访问某网站---点击该插件就可以看到相关信息 2.Modheader插件 步骤:谷歌商店安装—点击该插件—点击加号 便可以根据需求自定义请求头 (1)作用:这款插件能够帮助我们自定义请求头 二、谷歌hacking搜索语法 1.批量寻网站后台 (1)inurl:login (2)intext:后台登录 (3)intitle:网站管理系统 2.指定网站寻后台 (1)site:WWW.xxx.com in
攻防_信息收集_Robots协议
redglare的博客
11-24 338
Robots协议是一个约定俗成的访问控制的协议, 位于目录中, 可通过查看该文件来寻不允许访问的文件路径
2-信息收集Google hacking
网络安全
04-01 2057
Google hacking是信息收集中常用的一种方式,它是源于谷歌浏览器的一种非常强大的搜索技巧,通过Google hacking我们可以在互联网中搜索各种想要的信息。Google hacking的原理就是:google浏览器本身提供了各种搜索语法,当我们进行搜索时配合这些语法可以获取到更加精确的结果,而hacker利用语法加上特定关键字可以搜索到一些存在漏洞的网站等重要信息。因此,掌握goog...
渗透之路 安全工具【第五篇】Google Hack
dfu65065的博客
09-26 643
简介 使用 Google 等搜索引擎对某些特定的网络主机漏洞(通常是服务器上的脚本漏洞)进行搜索,以达到快速到漏洞主机或特定主机的漏洞的目的。Google 毫无疑问是当今世界上最强大的搜索引擎。然而,在黑客手中,它也是一个秘密武器,它能搜索到一些你意想不到的信息。所有处于公网的网站均可被收录,比百度、必应强很多。 基本用法 Google 搜索引擎之所以强大,关键在于它详细的搜索关...
Google Hack V2.0
08-09
同时,使用HTTPS、限制目录索引、设置 robots.txt 文件都是防止信息被Google Hack的有效方法。 总结来说,Google Hack V2.0是一个强大的工具,它揭示了搜索引擎在网络安全中的作用。掌握和合理应用Google Hack技术...
如何使用Kali进行信息收集
hack0919的博客
05-28 2230
信息的收集决定着渗透的成功与否
《网络渗透检测第一章 信息收集
weixin_67348669的博客
02-27 628
安装vmware: 1:访问官网地址进行产品下载,选择版本,根据操作系统选择相应的选项。 2:打开下载好的exe文件,进行安装,点击下一步按钮,选择安装路径,随后进行用户体验设置,最后出现的页面直接点下一步直到进入安装,安装成功。 安装kalilinux: 1:虚拟机安装,并下载镜像文件,点击文件,创建新的虚拟机,选择典型,稍后安装系统,然后liunx——ubuntu64,点击下一步。 2:写自己想要的名称和虚拟机存放位置点击下一步。 3:选择单文件——内存 30点击下一步。 4:点击自.
Coogle Hack常用方法说明
VVzv的博客
05-09 942
Google Hack的一些简单用法Google Hack常用指令及说明:Google Hack每个指令的用法:`site`指令用法:`inurl`指令用法:`intext`指令用法:`intitle`指令用法:`filetype`指令用法:`related`指令用法:`link`指令用法:Google Hack混合用法:eg1:搜索学校网站的后台eg2:精确定位搜索数据,搜索网盘里面的变形金刚 ...
黑客常用信息收集工具-01
par@ish的博客
02-24 1235
信息收集是突破网络系统的第一步。黑客在进入目标主机之前,通常会使用一些专门的黑客工具对目标主机进行扫描,从扫描结果中分析这些计算机的弱点,从而确定进入目标主机的方法和手段。
robots.txt用法和seo作用-Googlebot/Baiduspider(转)
weixin_34018169的博客
04-11 160
  转自:http://farlee.info/archives/robots-txt-seo-googlebot-baiduspider.html通过给网站设置适当的robots.txt对Google和百度seo优化的作用是很明显的。WordPress博客网站也一样。 我们先看看robots.txt是什么,有什么作用?如果你对robots.txt文件的写法及其作用很了解,可以直接跳过这篇文章...
【目录爆破工具】信息收集阶段:robots.txt、御剑、dirsearch、Dirb、Gobuster
07-25 1860
信息收集】目录爆破
web渗透的信息收集
qq_45584159的博客
12-15 3206
文章目录信息收集域名信息的收集网站指纹识别服务器类型(Linux/Windows)网站容器(Apache/Nginx/Tomcat/IIS脚本类型(php/jsp/asp/aspx)数据库类型(Mysql/Oracle/Accees/Mqlserver)常见搭配:端口扫描(nmap)网站敏感目录和文件旁站和C段扫描网站漏洞扫描 信息收集 信息收集对于渗透测试前期来说是非常重要的,因为只有我们掌握了目标网站或目标主机足够多的信息之后,我们才能更好地对其进行漏洞检测。正所谓,知己知彼百战百胜! 信息收集的..
hackbar插件_渗透测试必备的一些chrome拓展插件
weixin_32516009的博客
11-28 2196
前言分享一波自己在用的一些chrome插件。有了好的武器能让我们在日站的时候事半功倍,要是各位师傅有更多好用的插件欢迎推荐,欢迎补充。插件推荐1、wappalyzer查看网站使用了哪些技术,配合上撒旦就可以更快熟悉目标。2、shodan(撒旦)查看网站ip,以及开放的端口,点进去还能看cve。3、EditThisCookie可以很方便修改已保存的cookie4、User-Agent Sw...
Google高级技巧—google Hack★★★★
热门推荐
04-25 1万+
google hacking其实并算不上什么新东西,当时并没有重视这种技术,认为webshell什么的,并无太大实际用途.google hacking其实并非如此简单... 常用的google关键字: foo1 foo2 (也就是关联,比如搜索xx公司 xx美女) operator:foo filetype:123 类型 site:foo.com 相对直接看网站更有意思,可以得到许多意外的信息 i
三分钟学会渗透测试——信息收集
sGanYu
08-14 3954
什么是信息收集 信息收集主要是收集服务器的配置信息和网站的敏感信息,主要包括域名信息、子域名信息、目标网站信息、目标网站真实IP、目录文件、开放端口和服务、中间件信息等等。在进行渗透测试之前,第一步也是非常关键的一步就是对目标进行信息收集,我们尽可能收集关于目标的信息,这将会大大提高发现漏洞的概率。 信息收集大致分类 第一类:主动信息收集。通过直接访问、扫描网站 第二类:被动信息收集。利用第三方的服务对目标进行访问了解,比例:谷歌搜索、Shodan搜索等等 Whois 在进行网站注册的时
google hack
12-05
Google Hack是指利用Google搜索引擎的高级搜索技巧和语法,来获取一些通常不易被发现的信息或者漏洞。这些技巧和语法可以帮助用户更加精确地搜索到自己需要的信息,但同时也可能会被黑客用来搜索一些敏感信息,从而...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值