标签:针对 攻击 edit 价值 strong web 图片 信息 shell
googlehacking:利用引擎搜索(例如Google、Baidu)有针对的搜索信息来进行网络入侵的技术和行为。
搜索引擎对于关键字提供了多种语法,构造出特殊关键字,Googlehacking技术能够快速全面的让攻击者挖掘到更多的信息,目标主要有一下几种:
1.敏感信息(搜索到个人信息等敏感信息)
2.具有特殊URL关键字的特殊地址
3.搜索已有的攻击结果(已经被攻破的网站,hacker会上传webshell)
4.制定格式文件
5.其他与某个站点相关的信息
6.利用搜索引擎的网页快照功能
常用的GoogleHacking语法:
1.intext(仅针对Google有效):把网页中的正文内容作为搜索条件
2.intitle:把网页标题中的某个字符作为搜索条件
3.cache:搜索搜索引擎里关于某些内容的缓存,可能会在过期内容中发现有价值的信息
4.filetype:制定一个格式类型的文件作为搜索对象
5.incurl:搜索包含制定字符的url
6.site:在指定的站点搜索相关的内容
1.引号“”——把关键字打上引号后把关键字部分作为整体来搜索
2.or——搜索两个或更多关键字
3.link——搜索两个网站的链接
利用引擎搜索收集信息:
1.找管理后台地址:site:xxx.com intext
site:xxx.com incurl:login/admin/manager/admin_login/system
site:xxx.com intitle:管理|后台|登录
2.寻找上传类漏洞地址:site:xxx.com incurl:file
site:xxx.com incurl:upload
3.找注入界面:site:xxx.com incurl:php?id=
4.找编辑器界面:site:xxx.com incurl:ewebeditor
例如:
通过目标站点收集信息:
1.目标 网站使用的技术:(页面、数据库)
2.目标站点的whois信息,是否可能存在旁站等等
3.挖掘目标站点可能使用的网络安全配置
4.挖掘目标企业可能存在的管理架构
5.使用站长工具对目标网络进行初步扫描
6.其他与目标网站相关的信息(伪造产品供应商钓鱼邮件、社会工程学、没有验证码的登录可以进行爆破)
使用站长工具对目标站点进行信息收集:
1.IP查询
2.同IP网站查询
3.WHOIS查询和反查
4.子域名查询
5.识别服务器类型、页面类型
6.DNS信息查询
7.网络安全检测
8.端口扫描
标签:针对 攻击 edit 价值 strong web 图片 信息 shell
原文地址:https://www.cnblogs.com/gqgqa/p/14438980.html
