Web安全渗透课之信息搜集-------Google Hacking

提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档

 

文章目录

 


前言

因为考研,时隔一年重新学回来安全。很多东西都忘记了,现在重新捡回一些基础东西。其中发现看一些视频还是需要

记下一些博客,对知识有一个输入输出的过程。本视频知识来源于拼客学院网安大佬陈鑫杰。


提示:以下是本篇文章正文内容,下面案例可供参考

一、web信息收集是什么?

web信息收集即是web踩点,主要是拿到目标包括资产等方方面面信息,内容包括有操作系统,服务器类型,数据类型,web语言,域名信息,网站目录等。涉及到搜索引擎,网站扫描,域名遍历,指纹识别等工作。

二、Google Hacking

  Google Hacking 常用搜索语法框架如下图

Web安全渗透课之信息搜集-------Google Hacking

其中一些特别的用法举例:

Web安全渗透课之信息搜集-------Google Hacking

site:(1) 直接搜索关于这个关键字后缀的网址

    (2)site与“xxx"相结合,在该网址下的更加精准主题搜索

    (3)在某些学习网站如csdn里精准搜索关于sql注入的教程内容(可用于挖掘了目标资产的指纹信息后去精准搜索该版本存在的漏洞)

    (4)要找学习资料 可以结合百度云盘后缀,去找免费公开的百度云盘资源。

Web安全渗透课之信息搜集-------Google Hacking

filetype:可以于site一起用,目的就是爬到一些指定的文件。(有些网站的重要文件可能站内做了权限访问,但是如果直接从站外搜索可能可以直接访问到)

Web安全渗透课之信息搜集-------Google Hacking

inurl:搜索存在某某的网站,也可以结合site来用。上面是一些可能会存在漏洞的网址关键字。可以尝试sql注入,密码爆破等。

Web安全渗透课之信息搜集-------Google Hacking

intitle:寻找标题存在特定关键字的页面.如你title:index of“admin”

Web安全渗透课之信息搜集-------Google Hacking

出现一大堆敏感路径

Web安全渗透课之信息搜集-------Google Hacking

intext:  搜索正文(多用于查找目标网址的版本号信息,可以与inurl结合使用)

综合运用

Web安全渗透课之信息搜集-------Google Hacking

intitle:"struts problem report" 是strut著名的标志,搜索出来就会出现一大堆报错信息。

Web安全渗透课之信息搜集-------Google Hacking

专门收集网站的错误的网页可以加以利用。


总结

学会了Google搜索法,真的仿佛打开了新世界的大门。让人看到无限的可能性。

上一篇:Google Hacking 详解


下一篇:名词解释