基礎(chǔ)知識(shí)

「谷歌駭侵法」是指利用谷歌搜索引擎中的高級(jí)操作符，在搜索結(jié)果中定位特定的文本字符串。 一些比較流行的例子是找到易受攻擊的 Web 應(yīng)用程序的特定版本。 帶有 intitle: admbook intitle: Fversion filetype: php 的搜索查詢將定位所有包含該特定文本的網(wǎng)頁(yè)。 應(yīng)用程序的默認(rèn)安裝通常會(huì)在它們所服務(wù)的每個(gè)頁(yè)面中包含它們的運(yùn)行版本，例如，「由 XOOPS 2.2.3 Final 提供支持」。 一個(gè)甚至可以檢索的用戶名和密碼，列出從 頭版的微軟 服務(wù)器輸入給microscript在谷歌搜索領(lǐng)域：

設(shè)備連接到互聯(lián)網(wǎng)上可以找到。 搜索字符串如

將找到公開網(wǎng)絡(luò)攝像頭。 另一個(gè)有用的搜索是 intitle: index.of 後面跟著一個(gè)搜索關(guān)鍵字。 這可以給出服務(wù)器上的文件列表。 例如，intitle: index.of MP3將提供各種服務(wù)器上可用的所有 MP3文件。 有許多類似的高級(jí)運(yùn)算符可用於利用不安全的網(wǎng)站：假如對(duì)我說(shuō)的高級(jí)運(yùn)算符和谷歌精確搜索的方法不太了解的人可以看看這兩期： 【提高google搜索精度的小技巧-嗶哩嗶哩】 https://b23.tv/nJrHJsJ 【Google Chrome五個(gè)十分方便的搜索方法-嗶哩嗶哩】 https://b23.tv/cujZkhh 再看下面的入門篇。 入門

Google hacking 谷歌駭侵法

駭客去入侵一個(gè)網(wǎng)站的時(shí)候往往需要蒐集它的很多信息，這其中包括利用網(wǎng)站漏洞，社工，還有就是用搜索引擎進(jìn)行搜索，而常被我們利用的搜索網(wǎng)站谷歌就是一個(gè)非常好的信息搜索工具，【Google不翻牆用不了，建議可以用穀粉搜尋http://gfsoso.99lb.net/】，下面就跟大家普及谷歌搜尋的技巧。

Google Hacking的意思原指利用Google Chrome搜尋引擎搜尋資訊來(lái)進(jìn)行入侵的技術(shù)與行為；現(xiàn)指利用各種搜尋引擎搜尋資訊來(lái)進(jìn)行入侵的科技與行為

Google進(jìn)階自訂搜尋語(yǔ)法如下：

intitle：表示搜尋在網(wǎng)頁(yè)標(biāo)題中出現(xiàn)第一個(gè)關(guān)鍵字的網(wǎng)頁(yè)。

例如”intitle：黑客技術(shù) “將返回標(biāo)題中出現(xiàn)”黑客技術(shù) “的所有連結(jié)。

用”allintitle：黑客技術(shù) Google”則會(huì)傳回網(wǎng)頁(yè)標(biāo)題中同時(shí)含有 “黑客技術(shù)” 和 “Google” 的連結(jié)。

intext：傳回網(wǎng)頁(yè)的文字中出現(xiàn)關(guān)鍵字的網(wǎng)頁(yè)。用allintext：搜尋多個(gè)關(guān)鍵字。

inurl：回傳訊息的第一部分。

site：搜尋某個(gè)指定的網(wǎng)路。

filetype：搜尋特定文章（as.doc.pdf.ppt）。拜訪客戶的特定文本，範(fàn)例：.pwl口頭訂單文本、.tmp時(shí)間文本、.cfg安排文本、.ini系統(tǒng)文本、.hlp支援文本、.dat號(hào)碼設(shè)定文本、.log西文本、.par交換文本以及很快。

link：表示回傳所有連結(jié)到某個(gè)位址的網(wǎng)頁(yè)。

related：返回連接到類似指定網(wǎng)站的網(wǎng)頁(yè)。

cache：搜尋Google快取中的網(wǎng)頁(yè)。

info：表示搜尋網(wǎng)站的摘要。

例如”info:whu.edu.cn”僅得到一個(gè)結(jié)果：

phonebook：搜尋電話號(hào)碼簿，將會(huì)返回美國(guó)街道地址和電話號(hào)碼清單,這無(wú)疑給挖掘個(gè)人資訊的駭客帶來(lái)極大的便利。

同時(shí)還可以得到住宅的全面信息，

結(jié)合Google earth將會(huì)得到更詳細(xì)的資訊。

相應(yīng)的還有更小的分類搜尋：

rphonebook：僅搜尋住宅用戶電話號(hào)碼簿；

bphonebook：僅搜尋商業(yè)的電話號(hào)碼簿。

另外，還有一些不常用的搜尋指令。

例如列表如下：

author：搜尋新聞群組貼文的作者。

group：搜尋Google群組搜尋字彙貼文的題目。

msgid：搜尋識(shí)別新聞群組貼文的Google群組資訊識(shí)別碼和字串。

insubject：搜尋Google群組的標(biāo)題行。

stocks：搜尋有關(guān)一家公司的股票市場(chǎng)資訊。

define：傳回一個(gè)搜尋詞彙的定義。

inanchor：搜尋一個(gè)HTML標(biāo)記中的一個(gè)連結(jié)的文字表現(xiàn)形式。

Google hacking常見的攻擊規(guī)律

Google hacking主要是發(fā)現(xiàn)那些公告文件，安全漏洞，錯(cuò)誤信息， 口令文件， 用戶文件， 演示頁(yè)面，登錄頁(yè)面， 安全文件， 敏感目錄，商業(yè)信息，漏洞主機(jī)， 網(wǎng)站服務(wù)器檢測(cè)等資訊。攻擊規(guī)律有：

利用”Index of”語(yǔ)法檢索出網(wǎng)站的活動(dòng)索引目錄

Index 就是主頁(yè)伺服器所進(jìn)行操作的索引目錄。駭客常利用目錄來(lái)取得密碼檔案和其他安全檔案。常用的攻擊語(yǔ)法如下： Index of /admin 可以挖掘到安全意識(shí)不強(qiáng)的管理員的機(jī)密文件： 黑客往往可以快速地提取他所要的信息其他Index of 語(yǔ)法列表如下：

利用”inurl:”尋找易攻擊的網(wǎng)站和伺服器