SRC实战-漏洞查找Google常用语法

Google介绍

Google许多IT人员经常使用的一款搜索引擎,其强大的搜索功能,可以让你在瞬间找到你想要的一切。不过对于普通的用户而言,Google是一个强大的搜索引擎;而对于黑客而言,则可能是一款绝佳的黑客工具。正因为google的检索能力强大,黑客可以构造特殊的关键字语法,使用Google搜索互联网上的相关隐私信息。通过Google,黑客甚至可以在几秒种内黑掉一个网站。这种利用Google搜索相关信息并进行入侵的过程就叫做Google Hack。

在我们平时使用搜索引擎的过程中,通常是将需要搜索的关键字输入搜索引擎,然后就开始了漫长的信息提取过程。其实Google对于搜索的关键字提供了多种语法,合理使用这些语法,将使我们得到的搜索结果更加精确。当然,Google允许用户使用这些语法的目的是为了获得更加精确的结果,但是黑客却可以利用这些语法构造出特殊的关键字,使搜索的结果中绝大部分都是存在漏洞的网站。同样我在挖掘SRC时,也是经常性的使用Google进行搜索来提交挖洞效率。
参考链接

SRC挖掘常用Google语法

黑客常用的语法

admin site:edu.cn
site:sunghsot.cn intext:管理|后台|登录|用户名|密码|验证码|系统|账号|后台管理|后台登录
site:sunghsot.cn intitle:管理|后台|登录|用户名|密码|验证码|系统|账号|后台管理|后台登录
inurl:login/admin/manage/admin_login/login_admin/system/boos/master/main/cms/wp-admin/sys|managetem|password|username
site:www.sunghost.cn inurl:file
site:www.sunghost.cn inurl:load
site:www.sunghost.cn inurl:php?id=
site:www.sunghost.cn inurl:asp?id=
site:www.sunghost.cn inurl:fck
site:www.sunghost.cn inurl:ewebeditor
inurl:ewebeditor|editor|uploadfile|eweb|edit
intext:to parent directory
intext:转到父目录/转到父路径
inurl:upload.asp
inurl:cms/data/templates/images/index/
intitle:powered by dedecms
index of/ppt
Filetype:mdb
site:www.sunghost.cn intext:to parent directory+intext.mdb
inurl:robots.txt

intitle:index.of “parent directory”

index of /passwd
site:sunghost.cn filetype:mdb|ini|php|asp|jsp

这个介绍几个我挖漏洞常用的几个语法
搜索指定域名:site:可以限制你搜索范围的域名
在这里插入图片描述
寻找可能存在的注入点漏洞:inurl:.php?id=1
这里是php页面的,当然也可以查找aspx、jsp、asp等界面的
在这里插入图片描述
查找后台管理系统
查找后台地址:
site:域名inurl:admin|member|system|user|main|cms
在这里插入图片描述
查找文件上传漏洞:site:域名 inurl:file|load|editor|uploadfile
SRC实战-漏洞查找Google常用语法_第1张图片
可能存在的信息泄露
查找文本内容:site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username
在这里插入图片描述
迂回策略入侵:inurl:cms/data/templates/images/index/
在这里插入图片描述

各种敏感数据收集:
filetype:xls inurl:gov username password
inurl:phpmyadmin/main.php intitle:phpmyadmin
filetype:inc inurl:config.inc host
filetype:sql cdb_members inurl:forumdata
filetype:txt inurl:"新建文本文档.txt"密码
inurl:phpinfo.php intitle:“phpinfo()”“PHP Version”+“Server API”
filetype:log inurl:log mdb
对了还有一些*作符也是很有用的:

  • 把google可能忽略的字列如查询范围
  • 把某个字忽略
    ~ 同意词
    . 单一的通配符
  • 通配符,可代表多个字母
    “” 精确查询
    SRC实战-漏洞查找Google常用语法_第2张图片
    还有很多就不一一列出来了,切忌非法渗透。本文章仅供参考学习,如有错误和不足,还请各位师傅大牛指出。

你可能感兴趣的:(web安全,网络,搜索引擎)