Metagoofil是由Christian Martorella编写的功能强大的元数据手机工具。它可以自动在搜素引擎中检索和分析文件,还具有提供Mac地址,用户名列表等其他功能。更多详细信息,可参考security-edge官方网站:http://www.edge-security.com/metagoofil.php
Metagoofil是一个python脚本,已经集成在Kali Linux中,我们可以启动一个终端,直接输入以下命令:
# metagoogil
图中列出了相关使用参数和两个具体例子。
参数 | 描述 |
---|---|
-d | 所搜寻的域名。 |
-t | 要下载的文档类型(pdf,doc,docx,ppt,xls,ods等) |
-l | 搜索结果限制(默认200个) |
-h | 使用目录中的文档处理(”yes”表示本地分析) |
-n | 文件下载限制 |
-o | 工作目录 |
-d | 输出文件 |
在渗透测试工作中,我们都会希望通过这个工具找出包含目标各种相关信息的文档。接下来,用一下命令测试一下效果:
# metagoofil -d wenku.baidu.com -t doc,xls -l 200 -n 50 -o metafiles -f metaResult.html
等结果,等了好大会出来了个这么个结果:
卡住了,最后超时退出,没有搜索到结果,换了两个域名也是同样的结果。没办法,打开Metagoofil.py文件看一下源码:
看到这,我也是醉了!!!用的是google搜素引擎,偏偏google被屏蔽了,要想继续下去,看样得设置下系统代理,前提是得有一个可以访问google的代理服务器。
先到这吧,只能留到以后了!不过原理应该和google hacking类似,搜索引擎中查找指定类型的文档。
site: example.com filetype:doc