干货 | 赏金猎人之Google Dorking语法总结

admin
admin
admin
138635
文章
114
评论
2023年3月7日18:20:04评论136 views字数 1435阅读4分47秒阅读模式

Google Dorking非常强大,但人们不喜欢在他们的工作流程中普遍使用它。任何有经验的赏金猎人都会告诉你,这是了解系统的最快方法之一。

什么是Google Dorking?

Google Dorking是一种黑客技术,它使用Google搜索和其他Google应用程序来查找网站正在使用的配置和计算机代码中的安全漏洞。

Google Dorking也可以用于OSINT来查找更大的漏洞并将它们链接起来以获得更好的错误。

我使用的谷歌dorks:

有些是从各种聊天中学来的,而另一些则被修改,但大多数是定制的。让我们首先讨论一下我使用的工具:

Pentest Secrets- Google dorks:

使用 14 种不同的 dork,从公开的文档到日志文件,甚至目录列表。

干货 | 赏金猎人之Google Dorking语法总结

地址:https://pentest-tools.com/information-gathering/google-hacking

非常简单

案例,通过下述语法挖掘到了诺基亚的信息

干货 | 赏金猎人之Google Dorking语法总结

干货 | 赏金猎人之Google Dorking语法总结


自定义 DORKS:

inurl:.gov password | credential | username filetype:log

此dork检查日志文件中的密码,凭据和用户名,以.gov为例,将其更改为你的目标即可。

inurl:.gov not for distribution | confidential | “employee only” | proprietary | top secret | classified | trade secret | internal | private | WS_FTP | ws_ftp | log | LOG filetype:log
我的常用语法:
inurl:.gov not for distribution | confidential | “employee only” | proprietary | top secret | classified | trade secret | internal | private filetype:xls
inurl:.gov not for distribution | confidential | “employee only” | proprietary | top secret | classified | trade secret | internal | private filetype:csv
inurl:.gov not for distribution | confidential | “employee only” | proprietary | top secret | classified | trade secret | internal | private filetype:doc
inurl:.gov not for distribution | confidential | “employee only” | proprietary | top secret | classified | trade secret | internal | private filetype:txt

结论:

这些有效吗?是的,对于一家大公司,您至少会找到一些立足点,跟踪URL,我在许多情况下都发现了多个IDORS。

干货 | 赏金猎人之Google Dorking语法总结


推荐阅读


实战 | 记一次渗透拿下某儿童色情网站的经过


实战 | 记一次企业钓鱼演练


2022年,从现在开始学安全还不迟!


干货 | 2022年超全的安全知识库


实战 | 实战一次完整的BC网站渗透测试


干货 | 赏金猎人之Google Dorking语法总结

原文始发于微信公众号(HACK学习君):干货 | 赏金猎人之Google Dorking语法总结

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2023年3月7日18:20:04
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   干货 | 赏金猎人之Google Dorking语法总结https://cn-sec.com/archives/1247654.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息