全面探秘Google Hacking攻击

核心提示：下面我们以google为例，解析攻击者是如何通过搜索引擎来对网站实施渗透攻击的，全面探秘Google Hacking攻击，我们平常搜索资料都是打开google，然后在“搜索框”里输入关键字，然后通过默认后台或者构造google语句找到网站的后台登录，上传webshell，找到自己所需的内容，其实

下面我们以google为例，解析攻击者是如何通过搜索引擎来对网站实施渗透攻击的。

我们平常搜索资料都是打开google，然后在“搜索框”里输入关键字，找到自己所需的内容。其实搜索引擎还有更高级的功能，特别是有自己的搜索语法。如果攻击者精心设计一段搜索语句，就可以搜索到一些网站的敏感的信息，然后利用这些信息，进一步地渗透，就有可能把整个网站攻陷。

一、关于Google的高级搜索

1、图形界面

google的个高级搜索页面为：http://www.google.cn/advanced_search?hl=zh-CN。在这个页面上，可以对搜索的关键词、语言、文件格式等进行设置，一个有经验的攻击者利用它，就可以通过精心构造的的语句，搜集到自己所需的信息。比如存在漏洞的页面，以及数据库地址、上传页面等。我们可以做个测试，在google的高级搜索页面中输入如图1所示的关键字，搜索采用某网站系统的网站的漏洞页面。

图2中我们可以看到有6,230,000个搜索结果，经过随机测试，这些页面存在注入漏洞的大概30%以上，攻击者通过手工或者工具就可以得到网站的管理员的用户名和密码，然后通过默认后台或者构造google语句找到网站的后台登录，上传webshell，进一步渗透获得服务器的控制权。