用户
搜索
  • TA的每日心情

    2017-8-7 20:52
  • 签到天数: 37 天

    连续签到: 1 天

    [LV.5]常住居民I

    i春秋-核心白帽

    Rank: 4

    6

    主题

    142

    帖子

    290

    魔法币
    收听
    0
    粉丝
    0
    注册时间
    2016-5-12
    发表于 2016-6-11 10:20:19 191939
    首先,楼主也是小白,其次,不知道以前有没有人发过这类帖子,但是这些内容纯手打。 近日看了一本书,很老的书了,各位大牛应该都看过《精通脚本黑客》,看了开头部分关于如何利用google搜索引擎进行渗透前的准备工作。辣么以下就结合本小白的理解为部分渗透学习的新手进行讲解。      
    常用语法:
                   1.intext:XXX            搜索正文中含有XXX的网页
                   2.intitle:XXX            搜索标题含有XXX的网页
                   3.filetype:XXX.YYY          搜索含有XXX关键字的YYY文件
                   4.inurl:XXX               搜索URL中含有XXX的网址
                   5.site:域名                搜索某域名下的全部信息
            还有其它不常用的语句这里就不一一列举了,其实这5个语句完全够用了,下面我结合新手遇到的问题进行语句组合。
    1.老是找不到网站进行“友情测试”?
      解决方案: 比如你要进行注入测试,辣么搜索语句为:inurl:asp?id=或者inurl:php?id=。如果各位还想针对性测试,比如渗透某宾馆,则语句可以构成:intext:XX宾馆    inurl:asp?id=。或者某特定网站的注入点,比如4399小游戏,则构造语句:site:4399.com     inurl:asp?id=。
    2.借用别人的webshell。
      如果说我们知道一些常用的webshell名称,比如i春秋上的dama。辣么我们可以直接搜索inurl:dama.asp多数情况下,各位大牛做渗透测试留下的木马也不会改密码,也就是ichunqiu了。如果我们知道其它常用的木马名称还有默认密码的话,辣么偷别人的木马来用不是很轻松嘛。
    3.借数据库来用
    很多网站的数据库没有改掉默认地址,我们知道mdb格式文件在网站里是可以直接下载的,mdb就是数据库的格式,里面包含了数据库的相关信息。如果说我们要搜索某点站的数据库,我们可以试试能不能直接下载。比如4399的数据库,我们构造:site:4399.com     inurl:mdb就可以了。
    4.查找网站后台管理登录口
    有的网站后台比较隐蔽,比如XXX/admin/manager/admin_login/uesr.asp这种就比较难猜到,有的时候扫描工具都不一定能够扫到,所以这个时候,我们来构造语句:site:4399.com     inurl:admin就可以找到相关的网址了。
    5.关于目录遍历的网站
    相信大家知道目录遍历的网站的特点吧,页面里一定有To Parent Directory或者含义类似的语句,辣么我们就可以构造:inurl:To Parent Directory就能找到存在目录遍历漏洞的网站了。
    6.已知某漏洞,寻找具有改漏洞的网站。
    比如我们知道ewebeditor是存在漏洞的,可以上传一句话木马,辣么我们也可以根据这一漏洞构造语句:inurl:ewebeditor     intitle:XXX  因为直接搜索ewebeditor可能跳出来的是官网,因此我们要使用intitle进行一定的限制。
    好了,其实Google hack能力远远超出我们的想象,而且构造语句也是一项非常有趣的事情,有的时候一个好的语句比我们忙活半天找漏洞要强得多,好了,本小白就知道这么多了。

    发表于 2016-6-11 10:21:06
    沙发自躺
    使用道具 举报 回复
    学习学习
    使用道具 举报 回复
    发表于 2016-6-11 10:50:50
    google hack 论坛有好几种类似的帖子了
    上善若水。水善利万物而不争,处众人之所恶,故几于道。
    使用道具 举报 回复
    发表于 2016-6-11 13:10:02
    谷歌语法,我还真不懂
    你懂得越多,懂你的人越少!
    使用道具 举报 回复
    发表于 2016-6-12 08:22:16
    楼主威武霸气外露
    使用道具 举报 回复
    发表于 2016-6-12 09:50:46
    what is f**k google hack.
    使用道具 举报 回复
    发表于 2016-6-12 10:03:44
    小白来了
    使用道具 举报 回复
    发表于 2016-6-12 11:48:03
    现在怎么翻墙?
    使用道具 举报 回复
    发表于 2016-6-13 14:56:59
    2222222222222222
    使用道具 举报 回复
    发表于 2016-6-13 17:27:09
    感觉好厉害的样子
    2222222222222222
    使用道具 举报 回复
    谢谢分享
    使用道具 举报 回复
    发表于 2016-6-14 18:18:15
    卧槽牛逼牛逼牛逼牛逼
    使用道具 举报 回复
    发表于 2016-6-16 10:56:04
    我就是一个小白
    使用道具 举报 回复
    发表于 2016-7-5 11:18:32
    看看 加油
    使用道具 举报 回复
    12下一页
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册