说起google,可谓无人不知无人不晓。作为世界第一的搜索引擎,其强大的搜索功能,可以让你在瞬间找到你想要的一切。不过对于普通的计算机用户而
言,google是一个强大的搜索引擎;而对于黑客而言,则可能是一款绝佳的黑客工具。正因为google的检索能力强大,黑客可以构造特殊的关键字,使
用google搜索互联网上的相关隐私信息。通过google,黑客甚至可以在几秒种内黑掉一个网站。这种利用google搜索相关信息并进行入侵的过程
就叫做google hack。
黑客想入侵一个网站,通常第一步都是对目标网站进行信息刺探。这时可以使用“site:目标网站”来获取相关网页,从中提取有用的资料。
1.搜索相关页面
下载网站的数据库
搜索“site:目标网站
filetype:mdb”就可以寻找目标网站的数据库,其中的site语法限定搜索范围,filetype决定搜索目标。用这种方法有一个缺点,就是下
载到数据库的成功率较低。在这里我们还可以采用另一种语法组合,前提是目标网站存在iis配置缺陷,即可以随意浏览站点文件夹,我们搜索“site:目标
网站 intext:to parent directory”来确定其是否存在此漏洞。在确定漏洞存在后,可以使用“site:目标网站
intext:to parent directory+intext.mdb”进行数据库的搜索。
2.找到网站数据库
登录后台管理
下载到数据库后,我们就可以从中找到网站的管理员帐户和密码,并登录网站的后台。对于网站后台的查找,可以使用语法组合“site:目标网站
intitle:管理”或者“site:目标网站
inurl:login.asp”进行搜索,当然我们可以在这里进行联想,以不同的字符进行搜索,这样就有很大的概率可以找到网站的后台管理地址。接下去
黑客就可以在后台上传webshll,进一步提升权限,在此不再阐述。
利用其他漏洞
如果下载数据库不成功,我们还可以尝试其他的入侵方法。例如寻找上传漏洞,搜索“site:目标网站 inurl:upload.asp”。此外,我们还可以根据一些程序漏洞的特征,定制出google hack的语句。
google hack可以灵活地组合法语,合理的语法组合将使入侵显得易如反掌,再加入自己的搜索字符,google完全可以成为你独一无二的黑客工具。
没有评论:
发表评论