第一次接觸到“GoogleHacking”是在學校初次Geek大賽上。
很有意思的一道題目,網頁中原題大致是這樣的:
下面是數學之美(吳軍著)的封面,請找出這本書的ISBN碼(這一關的Key值)
很不幸,圖片中ISBN碼被可惡的████蓋上了,好想“扣開塗層辨真偽”的說。。。
還是習慣性的查源文件,看看有沒有蛛絲馬跡,無果,完了把這張圖片下載下來
在本地以記事本打開,一堆亂碼,同樣沒有找到想要的結果
實在無奈了又仔細看了遍題目,什么?(“么”聲音拉長,表示驚訝~)不是有書名作者么……
找不到我可以問度娘啊,為什么一定要在這張圖片上折騰呢 然后速上百度,媽媽再也不用擔心我找不到ISBN了 !
上面這則小事沒用到GoogleHacking相關技巧,不過思路倒是有的,有Google,Baidu這兩大搜索神器,一定要好好去利用他們 !
0x 01 GoogleHack語法
Site 指定域名
Intext 正文中出現關鍵字的網頁
Intitle 標題中出現關鍵字的網頁
Info 一些基本信息包含關鍵字的網頁
Inurl url中存在關鍵字的網頁
Filetype 指定文件類型
Cache Google搜索緩存的網頁副本
常見操作符:
. 單一的通配符
* 通配符,可代表多個字母
"" 精確查詢
0x 02 常用案例
1. 搜索指定網站的子域名
site:XXX.com
2. 搜索指定網站的管理員入口
intitle:管理登陸 site:XXX.com
intitle中的關鍵字可以換成后台,后台管理,管理員……
inurl:login site:XXX.com
inurl中的關鍵字也可以換成guanlidenglu,admin……
3. 搜索指定網站的doc文檔(Excel/PDF/PPT)
site:XXX.com filetype:doc
4. 收集Discuz論壇主機
intext:Powered by Discuz
5. 收集某網站的Google快照
cache:XXX.com
6. 搜索某網站的公共FTP用戶
site:XXX.com intext:ftp://*:*
另外還有早些年使用查詢存在SQL注入漏洞的網站:
inurl:asp?id=
這個是很早很早出現的漏洞了,絕大部分網站已經修補該漏洞,不過好像依然存在“漏網之魚”呢 !
在這里寫幾點說明:
★ 語法中":"是半角冒號,":"前后沒有空格
★ google不區分大小寫,SITE與site結果是一樣的
★ 不要單一的使用Google或是Baidu,Baidu的本土化運營畢竟存在優勢,結合使用 !
最后希望大家根據自己收集的信息,搭配屬於自己的關鍵字 ~