WEB开发网
开发学院网络安全安全技术 全面探秘Google Hacking攻击 阅读

全面探秘Google Hacking攻击

 2010-03-12 00:00:00 来源:WEB开发网   
核心提示: 攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕,全面探秘Google Hacking攻击(4),我在1分钟的时间就搜到很多结果,随机测试,接下来就是登录后台,上传木马和提权了,有80%以上的数据库可以下载,可以打开图4

攻击者可以有针对性地进行搜索,也可以进行拉网式的大搜捕。我在1分钟的时间就搜到很多结果,随机测试,有80%以上的数据库可以下载,可以打开图4。

全面探秘Google Hacking攻击

(3)目录

上例中在我们的演示中通过“inurl:/inc+conn.asp ”语句看到了很多网站的目录。通过这个搜索语句攻击者可以浏览一些网站的目录。如果你足够细心的话,你还会看到它们都有一个共同点就是都含有“to parent directory ”这句话。那么我们再构造对“to parent directory”看看。

居然有16,900,000项符合条件的查询结果,太令让人惊讶了。出现这个漏洞是服务器没有配置好而出现的安全问题,问题就出在服务器的“目录浏览”上,不仅IIS和Apache存在这样的问题,其它web服务器也存在这样的类似问题。可以浏览网站的目录,那么攻击者就可以在网站的目录之间跳转,找到自己感兴趣的文件,比如数据库,登录页面等等。

全面探秘Google Hacking攻击

三、模拟测试

下面我通过几个实际的例子现身说法,看看google hacking的危害。

1、数据库:输入intext:to parent directory+intext:mdb语句,搜索网站数据库文件。

不仅数据库文件可以下载,其他的asp文件也可以下载得到源代码。打开刚下载的数据库,管理员的密码就轻松得到了,接下来就是登录后台,上传木马和提权了,这里就不多讲了。

上一页  1 2 3 4 5  下一页

Tags:全面 探秘 Google

编辑录入:爽爽 [复制链接] [打 印]
赞助商链接