WEB开发网
开发学院网络安全黑客技术 利用Google进行入侵的原理及防范 阅读

利用Google进行入侵的原理及防范

 2006-11-05 20:36:01 来源:WEB开发网   
核心提示:2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为You found that on google? 和google attacks 的主题演讲,利用Google进行入侵的原理及防范,经过安全焦点论坛原版主WLJ翻译整理后,个人觉得有必要补充完善一些细节部分,只是填写搜索的内容不同),通过我

2004年在拉斯维加斯举行的BlackHat大会上,有两位安全专家分别作了名为You found that on google? 和google attacks 的主题演讲。经过安全焦点论坛原版主WLJ翻译整理后,个人觉得有必要补充完善一些细节部分。今天向大家讲述的是Google的又一功能:利用搜索引擎快速查找存在脆弱性的主机以及包含敏感数据的信息,甚至可以直接进行傻瓜入侵。

用google来进行“渗透测试”

我们今天渗透测试人员在实施攻击之前,往往会先进行信息搜集工作,而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们现在要谈的是:

一、利用google查找被人安装了php webshell后门的主机,并测试能否使用;

二、利用google查找暴露出来的INC敏感信息.

OK,现在我们开始:

1.查找利用php webshell

我们在google的搜索框中填入:

Code:

intitle:"php shell*" "Enable stderr" filetype:php

(注: intitle—网页标题 Enable stderr—UNIX标准输出和标准错误的缩写filetype—文件类型)。搜索结果中,你能找到很多直接在机器上执行命令的web shell来。如果找到的PHPSHELL不会利用,如果你不熟悉UNIX,可以直接看看LIST,这里就不详细说了,有很多利用价值。要说明的是,我们这里搜索出来的一些国外的PHPSHELL上都要使用UNIX命令,都是system调用出来的函数(其实用百度及其他搜索引擎都可以,只是填写搜索的内容不同)。通过我的检测,这个PHPWEBSHELL是可以直接Echo(Unix常用命令)。一句话就把首页搞定了:

Code:

echo "召唤" > index.jsp

在得到的

Code:

echo

1 2 3  下一页

Tags:利用 Google 进行

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接