一、google hacking

  • site

    site:cnblogs.com 毒逆天

  • intitle

    intitle:login

  • allintitle

    allintitle:index of

    allinurl:forcedownload.php?file=

  • inurl

    inurl:/cgi-bin/MANGA/index.cgi

  • cache 快照页

    cache:stackoverflow.com

  • filetype

    filetype:pdf Kali Linux

  • site+filetype

    site:cnblogs.com filetype:pdf Linux

二、github hacking

  • 关键词搜索,自己构思即可
  • 案例:

Github不仅能托管代码,还能对代码进行搜索,我们感受到了其便利的同时,也应该时刻注意,当你上传并公开你的代码时,一时大意,让某些敏感的配置信息文件等暴露于众。

让我们从第一个例子开始。当搜索ssh password关键字时,其中里面有这样一个有趣的结果:

好像是一个捷克教育科研网络的,账号密码写的这么简洁明了,于是登录上去看一看。

是不是还挺欢乐的,早就有无数人登陆过了,还有人留下文本善意提醒。这意味着什么,Github早已被盯上,也许下一个大事件会是某漏洞导致Github私有库代码大量泄漏。

当我们在Github上搜索时,我们到底能搜到什么

能搜到的东西很多,这里只是给个思路,具体怎么玩自己去尝试。

邮箱

比如说以mail password关键字搜索:

搜索很多邮箱的帐号密码,这里就不一一列举了。

如果说用@qq.com或者是@gmail.com等各种邮箱后缀为关键字进行搜索,你会发现某商户收集的客户qq信息:

各种账号密码

Github上能搜到的账号密码实在是太多了,筛选一下你会发现很多有意思的。比如说有微信公众平台帐号:

居然连Github的登陆帐号也放在上面。。

各种VIP

万万没想到啊,没想到Github上还有这等福利!

百度云

尽管大部分链接已经失效,但是好资源还是有的。

简历

没想到还有很多人把包含个人信息的如此重要的简历也放在了Github上。搜索相关关键字resume,简历,学历:

其它

比如说有时候我需要微信开放平台的应用AppID(太懒,不想申请),于是搜索关键字WXApi registerApp,出来很多:

总之,鉴于越来越多人开始使用Github(非码农,比如说科学家,作家,音乐制作人,会计等职业),你可以在Github搜的内容也越来越多,不仅仅是代码,简直什么都有,什么某人做的笔记啊,写的小说啊,自拍照啊,还有书籍,论文等,简直出乎意料。

来自 <http://www.cnblogs.com/dunitian/p/4715482.html>

★Kali信息收集~ 1.Google Hacking + Github Hacking的更多相关文章

  1. ★Kali信息收集★8.Nmap :端口扫描

    ★Kali信息收集~ 0.Httrack 网站复制机 http://www.cnblogs.com/dunitian/p/5061954.html ★Kali信息收集~ 1.Google Hackin ...

  2. Kali信息收集系列:(都是我以前的笔记整理了一下,就没加水印,习惯就好)

    好几天没发微信公众号了,今天一起发下.(最近有点事情) 前些天老业界的一位朋友问我一些Safe新时代信息收集的问题 逆天虽然好多年不干老本行,但隔段时间都会关注一下 于是就花了点时间整理了一下,你们就 ...

  3. Kali信息收集

    前言 渗透测试最重要的阶段之一就是信息收集,需要收集关于目标主机的基本细腻些.渗透测试人员得到的信息越多,渗透测试成功的概率也就越高. 一.枚举服务 1.1 DNS枚举工具DNSenum DNSenu ...

  4. ★Kali信息收集~★6.Dmitry:汇总收集

    概述: DMitry(Deepmagic Information Gathering Tool)是一个一体化的信息收集工具.它可以用来收集以下信息: 1. 端口扫描 2. whois主机IP和域名信息 ...

  5. Kali信息收集-搜索引擎

    1.google hacking intext:搜索正文内容 intitile:网页标题中的内容 inurl:url中的关键字 site:目标站点下 filetype:文件类型 cache:缓存 li ...

  6. ★Kali信息收集~4.DNS系列

    ★.1host:DNS信息 参数: 一般情况下,host查找的是A,AAAA,和MX的记录 案例: DNS服务器查询  host -t ns 域名 A记录和MX记录查询  host 域名(host - ...

  7. Kali信息收集工具-dimtry

    帮助文档 -s和-e参数需要用到google搜索 1.获取whois主机ip信息 2.扫描端口,根据banner信息判断服务  

  8. ★Kali信息收集~3.子域名系列

    ★3.1Netcraft :子域名查询  官网:http://searchdns.netcraft.com/ 输入要查询的域名,即可得知子域名 3.2Fierce :子域名查询 概述: fierce ...

  9. ★Kali信息收集~ 5.The Harvester:邮箱挖掘器

    官网:http://www.edge-security.com 安装:apt-get install theHarvester 运行:终端输入 theharvester (小写) 用法+参数:(返回邮 ...

随机推荐

  1. [C#] async 的三大返回类型

    async 的三大返回类型 序 博主简单数了下自己发布过的异步文章,已经断断续续 8 篇了,这次我想以 async 的返回类型为例,单独谈谈. 异步方法具有三个可让开发人员选择的返回类型:Task&l ...

  2. 恢复SQL Server被误删除的数据(再扩展)

    恢复SQL Server被误删除的数据(再扩展) 大家对本人之前的文章<恢复SQL Server被误删除的数据> 反应非常热烈,但是文章里的存储过程不能实现对备份出来的日志备份里所删数据的 ...

  3. 一看就懂的ReactJs入门教程-精华版

    现在最热门的前端框架有AngularJS.React.Bootstrap等.自从接触了ReactJS,ReactJs的虚拟DOM(Virtual DOM)和组件化的开发深深的吸引了我,下面来跟我一起领 ...

  4. 【初学python】使用python连接mysql数据查询结果并显示

    因为测试工作经常需要与后台数据库进行数据比较和统计,所以采用python编写连接数据库脚本方便测试,提高工作效率,脚本如下(python连接mysql需要引入第三方库MySQLdb,百度下载安装) # ...

  5. CRL快速开发框架系列教程十三(嵌套查询)

    本系列目录 CRL快速开发框架系列教程一(Code First数据表不需再关心) CRL快速开发框架系列教程二(基于Lambda表达式查询) CRL快速开发框架系列教程三(更新数据) CRL快速开发框 ...

  6. Solr高级查询Facet

    一.什么是facet solr种以导航为目的的查询结果成为facet,在用户查询的结果上根据分类增加了count信息,然后用户根据count信息做进一步搜索. facet主要用于导航实现渐进式精确搜索 ...

  7. Java消息队列--ActiveMq 实战

    1.下载安装ActiveMQ ActiveMQ官网下载地址:http://activemq.apache.org/download.html ActiveMQ 提供了Windows 和Linux.Un ...

  8. C#日志

    参考页面: http://www.yuanjiaocheng.net/Entity/first.html http://www.yuanjiaocheng.net/Entity/jieshao.htm ...

  9. AlloyTouch实战--60行代码搞定QQ看点资料卡

    原文链接:https://github.com/AlloyTeam/AlloyTouch/wiki/kandian 先验货 访问DEMO你也可以点击这里 源代码可以点击这里 如你体验所见,流程的滚动的 ...

  10. BPM Domino集成解决方案

    一.需求分析 Lotus Notes/Domino是IBM的协同办公平台,在国内有广泛的用户. 但由于推出年头较早.采用文档数据库等特点, 导致其流程集成能力弱.统计分析难.不支持移动办公等问题,很多 ...