1、Google hacking 技术
自动化的Google搜索工具
SiteDigger https://www.mcafee.com/us/downloads/free-tools/sitedigger.aspx 2017/07/26无法正常访问
windows程序,由于Googleapi对搜索次数的限制 每次只能执行大概30条查询(未验证)
 
Search Diggity http://www.stachliu.com 自动跳转至https://www.bishopfox.com/??
windows程序, 需要提供google api key 免费的key限制每天搜索结果超过100个 更多则需要支付费用。(未验证)
 
包含大量Google黑客常用的搜索字符串
 
2、搜索网站的目录结构
robots.txt 阻止爬虫所抓取的目录往往也是渗透测试最关注的攻击目标
 
parent directory site:testfire.net
扩展名为inc的文件,可能会包含网站的配置信息,如数据库用户名、密码等。
扩展名为bak的文件,通常是一些文本编辑器编辑代码后留下的备份文件,可以让你知道对应的程序脚本大致的内容。
扩展名为TXT或sql的文件,一般包含网站运行数据库的sql脚本,可能会透露数据库结构等信息。
 
使用metasploit中的brute_dirs、dir_listing、dir_scanner等辅助模块来暴力猜解目录。
msf > use auxiliary/scanner/http/dir_scanner
msf auxiliary(dir_scanner) > set threads 50
threads => 50
msf auxiliary(dir_scanner) > set rhosts www.testfire.net
rhosts => www.testfire.net
msf auxiliary(dir_scanner) > exploit
 
[*] Detecting error code
[*] Using code '404' as not found for 65.61.137.117
[*] Error: 65.61.137.117: ActiveRecord::RecordInvalid Validation failed: Pname can't be blank
[*] Scanned 1 of 1 hosts (100% complete)
[*] Auxiliary module execution completed
 
3、检索特定类型的文件
site:testfire.net filetype:xls
谷歌搜索 查抄特定类型的文件,一些缺乏安全意识的管理员可能会把类似通讯录等内容敏感的文件放到网站上。
 
4、搜索网站中的e-mail地址
使用msf中的辅助模块 search_emal_collector进行有针对性的邮件地址搜集。
msf > use auxiliary/gather/search_email_collector
msf auxiliary(search_email_collector) > set domain altoromutual.com
domain => altoromutual.com
msf auxiliary(search_email_collector) > run
 
5、搜索易存在sql注入点的页面
site:testfire.net inurl:login
另外还有   inurl:.php?id=  之类的

MSF魔鬼训练营-3.1.2信息收集-通过搜索引擎进行信息搜集的更多相关文章

  1. Web信息收集之搜索引擎-Zoomeye Hacking

    Web信息收集之搜索引擎-Zoomeye Hacking https://www.zoomeye.org ZoomEye(钟馗之眼)是一个面向网络空间的搜索引擎,"国产的Shodan&quo ...

  2. Web信息收集之搜索引擎-Shodan Hacking

    Web信息收集之搜索引擎-Shodan Hacking 一.Shodan Hacking简介 1.1 ip 1.2 Service/protocol 1.3 Keyword 1.4 Cuuntry 1 ...

  3. Web信息收集之搜索引擎-GoogleHacking

    Web信息收集之搜索引擎-GoogleHacking 一.信息收集概述 二.Google Hacking 2.1 site 2.2 filetype 2.3 inurl 2.4 intitle 2.5 ...

  4. 2018-2019-2 20165205 《网络对抗技术》 Exp6 信息收集与漏洞扫描

    2018-2019-2 20165205 <网络对抗技术> Exp6 信息收集与漏洞扫描 实验目标 掌握信息收集的最基本技能与常用工具的方式 实验内容 各种搜索技巧的应用 DNS IP注册 ...

  5. 内网横向渗透 之 ATT&CK系列一 之 信息收集

    前言 靶机下载地址:ATT&CK 拓扑图: 通过模拟真实环境搭建的漏洞靶场,完全模拟ATK&CK攻击链路进行搭建,形成完整个闭环.虚拟机默认密码为hongrisec@2019. 环境搭 ...

  6. [统计信息系列7] Oracle 11g的自动统计信息收集

    (一)统计信息收集概述 在Oracle 11g中,默认有3个自动任务,分别是:自动统计信息收集.SQL调优顾问.段空间调整顾问,查看方法如下: SQL> SELECT CLIENT_NAME,T ...

  7. WEB安全信息收集

    目录 信息收集 子域名&敏感信息 敏感信息收集--Googlehack 敏感信息收集--收集方向 空间测绘引擎域名资产收集 子域名收集 WEB指纹 端口扫描 IP查询 cms识别 WAF识别 ...

  8. MSF魔鬼训练营-3.1.1信息收集-通过DNS和IP地址挖掘目标网络信息

    情报搜集环境站渗透测试全过程的80%~90%   一.外围信息搜集(公开渠道信息搜集OSINT  open source intelligence) 3.1.1信息收集-通过DNS和IP地址挖掘目标网 ...

  9. MSF——信息收集(四)

    MSF系列: MSF——基本使用和Exploit模块(一) MSF——Payload模块(二) MSF——Meterpreter(三) MSF——信息收集(四) 发现和端口扫描 Nmap扫描 db_n ...

随机推荐

  1. qt5--QPainter绘图

    需要 #include <QPainter> #include "win.h" #include "ui_win.h" #include <Q ...

  2. C# 桌面截屏 添加鼠标

    #region 第一种方法 [DllImport("user32.dll")] static extern bool GetCursorInfo(out CURSORINFO pc ...

  3. TTTTTTTTTTTTTTTTTT POJ 2724 奶酪消毒机 二分匹配 建图 比较难想

    Purifying Machine Time Limit: 2000MS   Memory Limit: 65536K Total Submissions: 5004   Accepted: 1444 ...

  4. codevs 5969 [AK]刻录光盘x

                         题目描述 Description • 在FJOI2010夏令营快要结束的时候,很多营员提出来要把整个夏令营期间的资料刻录成一张光盘给大家,以便大家回去后继续学 ...

  5. USACO2018DEC PLATINUM

    就按(博主认为的)难度顺序排吧. Sort It Out 分析 容易发现选出的集合一定是所有逆序对的一个最小覆盖集,那么剩下的就一定是一个LIS.仔细想想还可以发现字典序第\(k\)小的最小覆盖集的补 ...

  6. [BZOJ5249][九省联考2018]IIIDX:线段树+贪心

    分析 GXZlegend orz 构造出一组合法的解并不是难事,但是我们需要输出的是字典序最大的解. 字典序最大有另一种理解方式,就是让越小的数尽量越靠后. 我们从树的根结点出发,从1开始填数,构造出 ...

  7. [BZOJ1001][BeiJing2006]狼抓兔子(最小割转最短路|平面图转对偶图)

    1001: [BeiJing2006]狼抓兔子 Time Limit: 15 Sec  Memory Limit: 162 MBSubmit: 31805  Solved: 8494[Submit][ ...

  8. C++入门经典-例3.7-用条件运算符判断数的奇偶性

    1:条件运算符是一个三目运算符,能像判断语句一样完成判断.例如: max=(iA>iB) ? iA:iB; 意思是先判断iA是否大于iB,如果是,则max取iA的值,如果不是则取iB的值. 如果 ...

  9. 从curl命令获取libcurl的用法

    libcurl的用法参数太多 有时候弄不好 可以先用curl命令实现了 然后获取相应的libcurl代码 比如要上传文件 curl -T d:/h.txt http://demo.xudp.cn/up ...

  10. 回归_最小二乘法(python脚本实现)

     python机器学习-乳腺癌细胞挖掘(博主亲自录制视频) https://study.163.com/course/introduction.htm?courseId=1005269003& ...