信息搜集方面经常用到的技术：GoogleHacking，字面藏玄机

　　信息搜集方面经常用到的技术：GoogleHacking，字面藏玄机

　　来源 |小白学黑客

　　作者|小白哥哥

　　信息采集和社会工程是网络安全的重要组成部分。

　　今天文章给大家介绍一下信息采集中经常用到的技术：Google Hacking，即使你暂时没有太多专业的网络安全知识，如果你能熟练使用搜索引擎，也可以转变成一个小黑客。

　　Google Hacking，字面意思是利用谷歌搜索引擎搜索信息进行入侵的技术和行为，现在已经扩展为利用所有搜索引擎进行网络入侵的技术和行为。

　　大家都用过搜索引擎。在搜索框中输入关键词，回车，结果就会展现在我们面前。但其实这个搜索框有玄机，除了关键词，还有其他用途。

　　/img?url=https://mmbiz.qpic.cn/mmbiz_png/H1LuiaOqzMheme6OaWI5Y0MHBZQ85uIbZUaVxQqYicjQtvv6UUSvvGonyZGVialicV5x68rMOIHO4jAbasYUaaqE0w/640?wx_fmt=png

　　搜索引擎为搜索到的内容提供了多种语法。通过构建特定的搜索语句，攻击者可以快速全面地挖掘出有价值的信息。

　　本文列举了一些常用的例子。除非另有说明，本文列出的搜索语法适用于谷歌和百度。本文内容以谷歌为例。

　　网站

　　语法：site

　　功能：限制特定网址中的搜索

　　有时候全网搜索有点像大海捞针，如果我们有特别关注的网站，想只显示这个网站的搜索结果，我们可以使用站点语法，比如我在微软官网搜索漏洞编号CVE-2014-4114：

　　/img?url=https://mmbiz.qpic.cn/mmbiz_png/H1LuiaOqzMheme6OaWI5Y0MHBZQ85uIbZibG9lnLrYkyKK6RS4JJcoWgrr9glSzOxB0kjBaRvXXs1licFjyAhrGow/640?wx_fmt=png

　　如您所见，显示的结果都在网站中指定，大大降低了我们在海量信息中的筛选成本。

　　其实很多网站为了省事，这些网站站点搜索功能都是利用搜索引擎的站点语法实现的。

　　文件类型

　　语法：文件类型

　　功能：搜索特定文件类型

　　有时候我们想查找特定类型的文档，比如PPT、PDF等，但是默认所有网页都出来了，很难找到我们想要的内容。这时，我们可以使用文件类型语法。比如我想搜索与网络安全相关的PDF电子书：

　　/img?url=https://mmbiz.qpic.cn/mmbiz_png/H1LuiaOqzMheme6OaWI5Y0MHBZQ85uIbZQQj5Jtrt3p077E47ceWpUxkHMevYBOPddyUSUBchO6jT5DeUcDeP7g/640?wx_fmt=png

　　我们想要的就是我们想要的。我们已经尝试过这个技巧来搜索技术文档、电子书等。

　　网址

　　语法：inurl

　　功能：在网址中搜索指定内容的链接

　　这个语法有什么用？普通人很少关心链接本身的内容，但对于我们黑客来说，URL 很重要。例如，我们可以使用它来搜索可能存在 SQL 注入的链接：

　　/img?url=https://mmbiz.qpic.cn/mmbiz_png/H1LuiaOqzMheme6OaWI5Y0MHBZQ85uIbZV5jS1iatDZ8EjJA0bYnyIWoUpkE0GqbEH7gziaPgEDeYOeakYLic2PKaQ/640?wx_fmt=png

　　除了SQL注入，还可以搜索可能的网站background管理入口：

　　如果加上前面的站点语法，结合使用，就可以找到这种指定网站的链接，有针对性地寻找攻击点。

　　标题

　　语法：intitle

　　功能：搜索页面标题中指定内容的页面

　　除了在网址中搜索，我们还可以在标题中搜索。一般网站background 管理页面都会有“后台”、“管理”、“登录”等字样。我们可以在HTML的title字段中搜索这些关键词，找到可疑的后台登录页面。

　　/img?url=https://mmbiz.qpic.cn/mmbiz_png/H1LuiaOqzMheme6OaWI5Y0MHBZQ85uIbZIATpD5YPnuzAK88fvO6kg9YyAE2GBojTAUyCYB94tPiaXd1Et8luBMQ/640?wx_fmt=png

　　文本

　　语法：intext

　　功能：除了url和title，剩下的就是body位置搜索

　　例如，我们搜索使用 discuz网站 构建的论坛：

　　谷歌黑客数据库

　　看了这么多，你不知道你学业没落了吗？

　　如果没有，没关系。这里有一个神器：Google Hacking 数据库，采集了很多有价值的搜索语句。您可以使用这些来搜索，看看是否可以找到任何信息。

　　学习使用搜索引擎是每个黑客必备的技能之一。看完这篇文章，赶紧动手实践一下吧。但是重点学习，不要拿来做违法的事情，现行的网络安全法可不是开玩笑的！