【漏洞挖掘】——68、GoogleHacking信息泄露

已于 2024-06-11 21:12:02 修改
阅读量270 收藏 1
点赞数
分类专栏: 【WEB渗透】 文章标签: 安全 渗透测试 信息安全 网络安全 GoogleHacking
于 2024-06-11 15:32:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/Fly_hps/article/details/139600548
版权
本文探讨了Google Hacking技术如何用于发现目标网站的敏感信息,包括使用特定搜索语法查找管理员入口、各类文件、论坛主机、SQL注入漏洞及开放的远程桌面服务器,揭示了网络安全和渗透测试中的潜在风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

漏洞描述

通过借助Google搜索语法捕获大量与目标网站相关的敏感信息(各种类型文件、特殊功能模块等),之后进行深入利用。

漏洞利用
搜索语法
Site       指定域名 
Intext     正文中存在关键字的网页
Intitle     标题中存在关键字的网页
Info       一些基本信息
Inurl      URL存在关键字的网页
Filetype   搜索指定文件类型
使用示例

搜索指定域名网站

site:XXX.com

搜素指定网站的管理员入口

Intitle:管理登录 site:XXX.com   //intitle中的关键字可以换成后台、后台管理、管理员等等
Inurl:login  site:xxx.com    	//inurl中的关键字也可以换成guanlidenglu,admin等等

搜素指定网站的相关文档(Excel、PDF、PPT)

site:xxx.com  filetype:doc

收集Discuz论坛主机

Intext:
了解本专栏 订阅专栏 解锁全文
【信息收集】——3、信息收集指南
Fly_鹏程万里
02-26 4万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 本系列文章只做技术研究与分享,如有恶意利用文章中提及的技术做网络攻击,造成的法律责任,作者概不负责! 安全问题的本质 安全问题的本质是“信...
网络安全 | 漏洞挖掘】通过分析JS文件实现接口未授权访问与账户接管
最新发布
等风来
04-08 595
为了确保我没有遗漏什么,我联系了一位朋友,问她是否可以“黑”掉她的车,以证明我们可以完全接管车辆。汽车行业的特殊性在于,一个来自德州的18岁员工,可以查询到加州某辆车的账单信息,而这并不会引起任何警觉,这是他们的日常工作内容之一。换句话说,如果这个接口确实按这段 JavaScript 的逻辑运行,那攻击者只需要知道某位员工的邮箱地址,就可以重置其密码,直接接管账号。结合我以前在其他车企挖洞的经验,我知道很多时候员工端系统的权限远比用户端大得多,而且这些系统有时会暴露在公网,或存在配置不当的问题。
SRC实战-漏洞查找Google常用语法
YINGXXX123的博客
01-26 2949
Google许多IT人员经常使用的一款索引擎,其强大的索功能,可以让你在瞬间找到你想要的一切。不过对于普通的用户而言,Google是一个强大的索引擎;而对于黑客而言,则可能是一款绝佳的黑客工具。正因为google的检索能力强大,黑客可以构造特殊的关键字语法,使用Google索互联网上的相关隐私信息。通过Google,黑客甚至可以在几秒种内黑掉一个网站。这种利用Google索相关信息并进行入侵的过程就叫做Google Hack。
漏洞挖掘 |记一处信息泄露到登录统一平台
2301_80127209的博客
04-02 850
我们都知道像大学之类的各种平台的登录账号基本上是学号,初始登录密码基本上是学生身份证的后6位再拼接上一些带有学校缩写的英文字母。所以我们在找漏洞的时候可以换一种思路,先通过去找身份证信息或者是有固定初始密码的平台来尝试,这样子成功的概率就会比较大。
Google Hacking
good good study day day up
07-13 784
Google Hacking,是一种利用Google索引擎和其高级索技术来查找安全漏洞、敏感信息或用于渗透测试的特定数据的技术。
Google hacking信息收集
爆金币了,老登!
02-20 974
google hacking语法基础
Google索SQL注入漏洞语法
weixin_68416970的博客
08-28 2323
语法描述示例结果说明索 URL 中包含指定参数查找 URL 中包含id=的页面索包含 SQL 错误提示的页面返回包含 SQL 错误提示的页面索页面正文中的数据库错误提示信息返回页面中包含 MySQL 错误提示信息的页面索特定文件类型返回包含 SQL 错误的日志文件索特定 CMS 中的 SQL 注入漏洞返回可能存在漏洞的 Joomla 站点id="查找 URL 中常见的 SQL 注入点id="返回 URL 中包含.php?id=的页面。
漏洞经验分享——如何挖信息泄密漏洞
weixin_43815032的博客
09-11 1711
破壳学员罗最近挖到了一个腾讯的和一个上海交通大学的信息泄密漏洞,发现大部分都是信息泄密漏洞,所以决定给大家分享一下如何挖信息泄密漏洞。 准备好学习的姿势,先来看看几张看起来很牛逼的图! ...
信息收集及漏洞利用--安全(四)
qq_43371350的博客
04-03 3188
信息收集 收集目标web服务器的网络信息、系统信息、组织信息 网络信息 包括:域名、TCP/UDP的端口、网络协议、防火墙、访问控制策略等 系统信息 包括:系统标识、站点目录、系统架构、路由表、测试/临时文件 组织信息 包括:员工信息、邮箱/电话、公司地址、组织网站、组织背景等 whois信息 收集注册人、电话、邮箱、dns、地址等 whois 信息 whois.chinaz.com , wwww...
渗透测试信息收集 之 【敏感信息收集】 Google Hack语法索详解 黑客常用索引擎 敏感信息收集工具 都来看看提高提高
浩策盾悟
08-23 1万+
它的网站/数据库引用了广泛的互联网端口扫描的结果,不要fq就能使用。通过github上面的一个开源python脚本GitHack.py就能通过.git目录中的信息恢复所有由git管理的代码。在运行git init初始化代码库的时候,会在当前目录下面产生一个.git的隐藏文件。用来记录代码的变更记录、日志、目录结构、文件结构等等。索含有该域名的网页,google会限制尽在某个网站或者说域下面进行索。索通过文件的后缀或者扩展名来索含有这类文件的网页。使用这个文件.git文件,可以用来恢复源代码。
信息收集的利器,Google骇客语法
大河之犬的博客
06-25 3647
Google Hacking 是利用谷歌索的强大,来在浩瀚的互联网中索到我们需要的信息。轻量级的索可以素出一些遗留后门,不想被发现的后台入口,中量级的索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息利用Google索我们想要的信息,就需要配合谷歌索引擎的一些语法
GoogleHack—利用谷歌语法查找网站后台和漏洞
weixin_33924770的博客
06-01 3438
GoogleHack是利用组合关键词,通过谷歌索引擎索到精确度高、范围广的索结果。合理利用关键词的组合形式,会出现的收获,下面,我就带领大家一起来学习一下这个神奇的索引擎吧。下面我们先来看看Google的部分语法:①intitle:索网页标题中包含有特定字符的网页。例如输入“intitle: cbi”,这样网页标题中带有cbi的网...
利用谷歌语法进行漏洞
ssrf
12-07 7803
inurl:Login 将返回url中含有Login的网页 intitle:后台登录管理员 将返回含有管理员后台的网页 intext:后台登录 将返回含有后台的网页 inurl:/admin/login.php
渗透测试之——google语法
JieDG的博客
05-12 3094
Google Hacking 轻量级的索可以素出一些遗留后门,不想被发现的后台入口,中量级的索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息 基本索 字符 注释 and 逻辑与 or 逻辑或 - 逻辑非 * ? 通配符 字符 注释 intext 寻找正文中含有关键字的网页 intitle 寻找标题中含有关键字的网页 allinti
黑客索大法(Google Hacking)
whoim_i的博客
02-18 8615
目录前言逻辑连接符语法index of 前言 Google Hacking 是利用谷歌索在浩瀚的互联网中索到我们需要的信息。轻量级的索可以素出一些遗留后门,不想被发现的后台入口,中量级的索可以索出一些用户信息泄露,源代码泄露,未授权访问等等,重量级的则可能是mdb文件下载,CMS 未被锁定install页面,网站配置密码,php远程文件包含漏洞等重要信息。 逻辑连接符 · 逻辑与:...
谷歌语法-防丢
qq_42511731的博客
05-19 872
一、谷歌语法是什么 谷歌语法就是利用索引擎在渗透测试过程索到特定页面的一种语法 二、如何利用谷歌语法 谷歌语法基础的符号: “xxx”: 将要索的关键字用引号括起来 (表示完全匹配,即关键词不能分开,顺序也不能变) 例如:腾讯课堂如果不加“ ”的话,就会针对腾讯和课堂进行拆分,既对腾讯进行索也对课堂进行索,所以加上“ ”的话就会对腾讯课堂进行绑定,只对腾讯课堂进行索 +:“xxx” +baidu.com 索xxx与baidu.com 相关的内容 例如:腾讯课堂 +ke.qq.com,
googlehack的一些小结
cherrie007的博客
07-13 2493
一、google hack 基本语法 1.intext: 关键字、allintext:关键字 把网页正文中某个关键字做为索条件,然后索全世界网页正文中含有这些关键字的网页 eg: 索网页登陆口,intext:验证码 48002.intitle:关键字、allintitle: 关键字 把网页标题中某个关键字做为索条件,然后索全世界网页标题中含有这些关键字的网页3.cache:关键字
【信息收集】——10、Zoomeye语法
热门推荐
Fly_鹏程万里
02-28 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 ZoomEye是一款针对网络空间的索引擎,收录了互联网空间中的设备、网站及其使用的服务或组件等信息。 ZoomEye 拥有两大探测引擎:Xmap 和 Wmap,...
【信息收集】——8、FOFA语法
Fly_鹏程万里
04-12 2万+
无意中发现了一个巨牛巨牛的人工智能教程,忍不住分享一下给大家。教程不仅是零基础,通俗易懂,小白也能学,而且非常风趣幽默,还时不时有内涵段子,像看小说一样,哈哈~我正在学习中,觉得太牛了,所以分享给大家。点这里可以跳转到教程! 前言 Kali Linux是一个集成了许许多多的渗透测试工具的一款系统,也可以说是专门问渗透测试人员量身打造的一般,本小节就为大家来介绍一下kali当中有哪些用于信息收集...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

FLy_鹏程万里

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值