渗透测试元数据搜集之Metagoofil

1. 简介

  Metagoofil是由Christian Martorella编写的功能强大的元数据手机工具。它可以自动在搜素引擎中检索和分析文件,还具有提供Mac地址,用户名列表等其他功能。更多详细信息,可参考security-edge官方网站:http://www.edge-security.com/metagoofil.php

2. 认识Metagoofil

  Metagoofil是一个python脚本,已经集成在Kali Linux中,我们可以启动一个终端,直接输入以下命令:
  # metagoogil
  渗透测试元数据搜集之Metagoofil_第1张图片
  图中列出了相关使用参数和两个具体例子。

参数 描述
-d 所搜寻的域名。
-t 要下载的文档类型(pdf,doc,docx,ppt,xls,ods等)
-l 搜索结果限制(默认200个)
-h 使用目录中的文档处理(”yes”表示本地分析)
-n 文件下载限制
-o 工作目录
-d 输出文件

3. 使用Metagoofil

  在渗透测试工作中,我们都会希望通过这个工具找出包含目标各种相关信息的文档。接下来,用一下命令测试一下效果:
  
  # metagoofil -d wenku.baidu.com -t doc,xls -l 200 -n 50 -o metafiles -f metaResult.html
  

  等结果,等了好大会出来了个这么个结果:
  渗透测试元数据搜集之Metagoofil_第2张图片
  卡住了,最后超时退出,没有搜索到结果,换了两个域名也是同样的结果。没办法,打开Metagoofil.py文件看一下源码:
  渗透测试元数据搜集之Metagoofil_第3张图片
  看到这,我也是醉了!!!用的是google搜素引擎,偏偏google被屏蔽了,要想继续下去,看样得设置下系统代理,前提是得有一个可以访问google的代理服务器。
  先到这吧,只能留到以后了!不过原理应该和google hacking类似,搜索引擎中查找指定类型的文档。
  site: example.com filetype:doc

你可能感兴趣的:(网络安全,渗透测试)