Google Hacking其實並算不上什麼新東西,學習下它只是想加深自己搜索技術,更好的查找到自己需要的資料。
記得以前也曾看見過一些文章或者教程教到怎樣去尋找有漏洞的網站,查找一些暴露出來的文件,只是一直不以爲意。好吧,廢話少說。
先來看看google的部分高級語法:
intext:
這個就是把網頁中的正文內容中的某個字符做爲搜索條件。例如在google裏輸入:intext:動網。將返回所有在網頁正文部分包含"動網"的網頁。
allintext:
使用方法和intext類似。
intitle:
和上面那個intext差不多,搜索網頁標題中是否有我們所要找的字符。例如搜索:intitle:安全天使。將返回所有網頁標題中包含"安全天使"的網頁。
allintitle:
使用方法也同intitle類似。
cache:
搜索google裏關於某些內容的緩存,有時候也許能找到一些好東西哦。
define:
搜索某個詞語的定義,搜索:define:hacker,將返回關於hacker的定義。
filetype:
這個我要重點推薦一下,無論是撒網式攻擊還是我們後面要說的對特定目標進行信息收集都需要用到這個。搜索指定類型的文件。
例如輸入:filetype:doc。將返回所有以doc結尾的文件URL。當然如果你找。bak、。mdb或。inc也是可以的,獲得的信息也許會更豐富:)
info:
查找指定站點的一些基本信息。
inurl:
搜索我們指定的字符是否存在於URL中。
例如輸入:inurl:admin,將返回N個類似於這樣的連接:http://www.xxx.com/xxx/admin,用來找管理員登陸的URL不錯。allinurl也同inurl類似,可指定多個字符。
link:
例如搜索:link:www.xxx.com可以返回所有和www.xxx.com做了鏈接的URL。
site:
這個也很有用,例如:site: www.xxx.com 將返回所有和www.xxx.com這個站有關的URL。
此外還有一些操作符也是很有用的:
+ 把google可能忽略的字列如查詢範圍
- 把某個字忽略
~ 同義詞
. 單一的通配符
* 通配符,可代表多個字母
""精確查詢
--------------------------------------------------------------------------------------------------
下面開始說說實際應用(以下內容均在google上搜索),對於一個居心叵測的攻擊者來說,可能他最感興趣的就是密碼文件了。而google正因爲其強大的搜索能力往往會把一些敏感信息透露給他們。用google搜索以下內容:
intitle:"indexof" etc
intitle:"Indexof" .sh_history
intitle:"Indexof" .bash_history
intitle:"indexof" passwd
intitle:"indexof" people.lst
intitle:"indexof" pwd.db
intitle:"indexof" etc/shadow
intitle:"indexof" spwd
intitle:"indexof" master.passwd
intitle:"indexof" htpasswd
"#-FrontPage-" inurl:service.pwd
有時候因爲各種各樣的原因一些重要的密碼文件被毫無保護的暴露在網絡上,如果被別有用心的人獲得,那麼危害是很大的。
下面是一個FreeBSD系統的passwd文件:
同樣可以用google來搜索一些具有漏洞的程序,例如ZeroBoard以前發現個文件代碼泄露漏洞,我們可以用google來找網上使用這套程序的站點:
intext:ZeroBoardfiletype:php
或者使用:
inurl:outlogin.php?_zb_path=site:.jp
來尋找我們所需要的頁面。phpmyadmin是一套功能強大的數據庫操作軟件,一些站點由於配置失誤,導致我們可以不使用密碼直接對phpmyadmin進行操作。我們可以用google搜索存在這樣漏洞的程序URL:
intitle:phpmyadminintext:Create new database
還記得http://www.xxx.com/_vti_bin/..%5C..%5C..%5C..%5C..%5C../winnt/system32/cmd.exe?dir嗎?用google找找,你也許還可以找到很多古董級的機器。同樣我們可以用這個找找有其他cgi漏洞的頁面。
allinurl:winnt system32
前面我們已經簡單的說過可以用google來搜索數據庫文件,用上一些語法來精確查找能夠獲得更多東西(access的數據庫,mssql、mysql的連接文件等等)。
舉個例子示例一下:
allinurl:bbsdata
filetype:mdbinurl:database
filetype:incconn
inurl:datafiletype:mdb
intitle:"indexof" data //在一些配置不正確的apache+win32的服務器上經常出現這種情況
和上面的原理一樣,我們還可以用google來找後臺,方法就略了,舉一反三即可,這篇文章的目的是讓大家瞭解google hacking,而不是讓你用google去破壞。安全是把雙刃劍,關鍵在於你如何去運用。
利用google完全是可以對一個站點進行信息收集和滲透的,下面我們用google對特定站點進行一次測試。www.xxxx.com是全國著名大學之一,一次偶然的機會決定對其站點進行一次測試(文中所涉及該學校的信息均已經過處理,請勿對號入座:)。
首先用google先看這個站點的一些基本情況(一些細節部分就略去了):
site:xxxx.com
從返回的信息中,找到幾個該校的幾個系院的域名:
http://a1.xxxx.com
http://a2.xxxx.com
http://a3.xxxx.com
http://a4.xxxx.com
順便ping了一下,應該是在不同的服務器。學校一般都會有不少好的資料,先看看有什麼好東西沒:
site:xxxx.comfiletype:doc
得到N個不錯的doc。先找找網站的管理後臺地址:
site:xxxx.comintext:管理
site:xxxx.cominurl:login
site:xxxx.comintitle:管理
超過獲得2個管理後臺地址:
http://a2.xxxx.com/sys/admin_login。asp
http://a3.xxxx.com:88/_admin/login_in。asp
還算不錯,看看服務器上跑的是什麼程序:
site:a2.xxxx.comfiletype:asp
site:a2.xxxx.comfiletype:php
site:a2.xxxx.comfiletype:aspx
site:a3.xxxx.comfiletype:asp
site:…….
......
a2服務器用的應該是IIS,上面用的是asp的整站程序,還有一個php的論壇
a3服務器也是IIS,aspx+asp.web程序都應該是自己開發的。有論壇那就看看能不能遇見什麼公共的FTP帳號什麼的:
site:a2.xxxx.comintext:ftp://*:*
沒找到什麼有價值的東西。再看看有沒有上傳一類的漏洞:
site:a2.xxxx.cominurl:file
site:a3.xxxx.cominurl:load
在a2上發現一個上傳文件的頁面:
http://a2.xxxx.com/sys/uploadfile.asp
用IE看了一下,沒權限訪問。試試注入漏洞,
site:a2.xxxx.comfiletype:asp
得到N個asp頁面的地址,體力活就讓軟件做吧,這套程序明顯沒有對注入做什麼防範,dbowner權限,雖然不高但已足矣,backa shell我不太喜歡,而且看起來數據庫的個頭就不小,直接把web管理員的密碼暴出來再說,MD5加密過。一般學校的站點的密碼都比較有規律,通常都是域名+電話一類的變形,用google搞定吧。
site:xxxx.com //得到N個二級域名
site:xxxx.comintext:*@xxxx.com //得到N個郵件地址,還有郵箱的主人的名字什麼的
site:xxxx.comintext:電話 //N個電話
把什麼的信息做個字典吧,掛上慢慢跑。過了一段時間就跑出4個帳號,2個是學生會的,1個管理員,還有一個可能是老師的帳號。登陸上去:
name:網站管理員
pass:a2xxxx7619 //說了吧,就是域名+4個數字
要再怎麼提權那就不屬於本文討論訪問了,呵呵,到此爲止。
關於googlehacking的防範:
一種方式就是通過在站點根目錄下建立一個robots.txt以避免網絡機器人獲得一些敏感的信息。
另外一種簡單一點的方法就是上google把自己站點的一些信息刪除掉。
以前還看見又有人討論用程序來欺騙robot的方法,也可以試試:
代碼如下:
<?php
if(strstr($_SERVER['HTTP_USER_AGENT'],"Googlebot"))
{
header("HTTP/1。1 301");
header("Location:http://www。google。com");
}
?>
asp的:
<%
ifinstr(Request。Servervariables("HTTP_USER_AGENT"),"Googlebot") then
response。redirect("http://www。google。com")
endif
%>
