全面探秘Google Hacking攻击

比如下面是access数据库和sqlserver数据库的conn.asp文件的内容。

ACCESS数据库链接代码：

　　dim　db,Conn,ConnStr　
　　db="您的ACCESS数据库路径"　
　　set　conn=Server.CreateObject("ADODB.Connection")　
　　.................................　
　　MS　SQL　Server数据库链接代码：
　　dim　SqlDatabaseName,SqlPassword,SqlUsername,SqlLocalName,Conn,ConnStr　
　　SqlDatabaseName="SQL数据库名称"　
　　SqlPassword="SQL数据库登密码"　
　　SqlUsername="SQL数据库登陆用户名"　
　　SqlLocalName="SQL服务器IP地址"　
　　..............　

通过conn.asp我们可以非常容易地找到数据库的地址，然后就可以想办法下载数据库。有了数据库，攻击者拿下网站就简单多了。

攻击手段：直接在Google里输人：“inurl:conn.asp”或者“inurl:/inc+conn.asp”，搜索到很多内容，其中有些对攻击者来说是没有价值的内容，我们找到一个链接打开，找到了一个暴库漏洞的网站(图3)。数据库可以下载。测试到此。

(2)数据库

攻击者通过构造相关网站系统的数据库路径加数据库名称的组合，然后在google中搜索，就可以找到相关的数据库。我们这里不用手工的方法，我们通过一个工具，“挖掘机”。它其实就是利用了搜索引擎，只是不这一切自动花了，这样的工具会非常容易找到网站的敏感文件，也更容易被一些初级用户掌握，因此危害极大。