网管联盟
|
网管论坛
|
网管u家
|
网管博客
|
网管软件
|
网管求职
|
小游戏
|
网管搜索
|
网管原创
|
网管聚合
|
网管读摘
|
网管焦点
|
世界素材
|
会员投稿
|
会员中心
Windows
Linux
Cisco
网络技术
数据库
黑客攻防
DotNet
Java
PHP
认证
新闻资讯
服务器
存储资讯
网络设备
网管学堂
技术专题
焦点
网吧频道
当前位置: >
bitsCN.com
>
网络攻防
>
黑客故事
> Google黑客揭秘
Google黑客揭秘
2007-06-09 作者:bitsCN整理 来源:网络攻防频道
点评
投稿
收藏
尽管利用Google作为
黑客
工具已经不是什么秘密,但这一问题似乎并未引起大家的足够重视, 而有些介绍Google
黑客
的文章又过于笼统,未能使大家了解到
黑客
是如何利用Google这一工具的, 因此,无法采取有效的方法防范。本文试图为大家初步揭露Google
黑客
的神秘面纱,知道如何去防范。 首先,我们看一下Google
黑客
专家Johnny在最近 Black Hat Briefings 上的一个演示, 他往Google搜索中输入"inurl:iisadmpwd",来定位IIS6.0的认证管理页面,可以得到几百项结果。 这就意味着这些网站将其弱点暴露在
黑客
面前,因为,
黑客
已经了解到网站运行的Web服务器是何种类型, 可以利用那些漏洞,而有经验的网管都知道IIS6.0的认证管理页面是一个弱点。你也可以往Google搜索中输 入"inurl:iisadmpwd site:.cn"试一试。通过上述例子,你大概有些感觉了吧!一般而言, 所谓Google
黑客
就是指利用Google查找目标,发现漏洞的
黑客
。 无论是传统
黑客
还是Google
黑客
其作案方式,与小偷、劫匪的作案方式比较类似,都需要先踩点 ,确定受害目标以后,再实施作案。那Google
黑客
是如何踩点的呢?看下面的例子, 往Google搜索中输入"intitle:index.of server.at site:www.blogchina.com",根据结果 "Apache/1.3.31 Server at www.blogchina.com Port 8080"我们可以确定BlogChina运行 的是Apache/1.3.31Web服务器。Google
黑客
一般还利用如下方法了解受害目标的情况:Site mapping-"site:www.ibm.com ibm";Directory listing-"intitle:index.of";default pages-"allintitle:Welcome to Windows XP Server Internet Services";手册、帮助 页面和样例程序-"allinurl:iishelp core"和"inurl:iissamples"还有"inurl:iissamples advquery.asp"以"inurl:iissamples sdk"等。像IIS的SDK漏洞我以为早就没有了, 可试一试"inurl:iissamples sdk"以后发现还不少,真是不知道这些网站的网管忙些什么! 在了解受害目标的情况以后,Google
黑客
会利用Google作为CGI scanner或Web scanner而使用。 一般有:"allinurl:/cgi-bin/cgiemail/uargg.txt";"allinurl:/random_banner/index.cgi";"allinurl:/cgi-bin/mailview.cgi";"allinurl:/cgi-bin/maillist.cgi";"allinurl:/cgi-bin/userreg.cgi";"allinurl:/iissamples/ISSamples/SQLQHit.asp";"allinurl:/iissamples/ISSamples/SQLQHit.asp";"allinurl:/SiteServer/admin/findvserver.asp";"allinurl:/scripts/cphost.dll";"allinurl:/cgi-bin/finger.cgi"等。让我们看一个漏洞,比如/random_banner/index.cgi,它可能是一个输入验证漏洞, 受影响系统是Extropia WebBanner 4.0Extropia WeBanner 是一个开放源码的PERL CGI工具包, WEB管理员利用它可以随机显示横幅。工具包中有一个组件index.cgi,使用了一个用户可输入的http 变量 html_file,它最终传递该变量到open()调用,但是没有检查元字符,于是有可能在目标主机 上远程执行任意命令、获取当前WEB服务所拥有的全部特权。 Google
黑客
还会利用Google查找一些敏感文件,如以下语句:"inurl:backup site:.cn";"intitle:index.of inurl:admin site:.cn";"inurl:admin site:.cn";"inurl:admin intitle:login site:.cn";"inurl:admin filetype:xls site:.cn";"inurl:admin inurl:userlist site:.cn""access denied for user" "using password" site:.cn";"allinurl: admin mdb site:.cn";""ORA-00921: unexpected end of SQL command" site:.cn"。 总之,Google毫无疑问是当今世界上最强大的搜索引擎。然而,在
黑客
手中,它也是一个利器, 它能搜索到一些你意想不到的信息。
0
顶一下
TAGs
:
揭秘
黑客
Google
site:.cn
利用
一个
可以
目标
漏洞
上一篇:
信息周刊:“黑客经济”面面观
下一篇:
熊猫烧香破译者来津讲反黑内幕
相关文章列表
“处对象了吗?”
IT史上的9个转折点
口误的爆笑(没笑的该去看心理医生了)
史上最短最强捍武侠小说
39个网络流行笑话
100个搞笑语录
恶意软件与反恶意软件二十年恩怨情仇
IT企业CEO薪水揭密
Google黑客揭秘 评论:
评论加载中…
评论:
请自觉遵守互联网相关政策法规,评论不得超过250字。
验证码:
注册用户
本类热门排行:
1.
女的能把男生气死的六句话
2.
口误的爆笑(没笑的该去看心理医生了)
3.
39个网络流行笑话
4.
IT经理从黑客到红队
5.
艳照门揭开了香港娱乐圈的黑史
6.
史上最短最强捍武侠小说
7.
开心辞典里巨搞笑的一幕
8.
100个搞笑语录
9.
IT企业CEO薪水揭密
10.
80后黑客自述:我们就像古代书生 心灵那
最新推荐文章:
1.
制定合理的信息战略必须具备的四大支柱
2.
回顾中国黑客的发展里程
3.
不会被抓的5大黑客
4.
入侵防御系统的发展
5.
看琼瑶的语气怎么说熊猫烧香
6.
全面认识神秘黑客(一)
7.
世界第一个黑客
8.
一个网络黑客的“漂白”生涯
9.
互联网出现怪病毒 专门破坏日文操作系统
10.
引人思考,中国黑客将命归何处?
网管论坛交流:
·
不疯魔不成活
·
令你大开眼界的真正标准化机房,已整理重
·
华为HCSE OSPF路由协议培训教材 V3.0
·
为赈灾,女孩舍身拍“裸照”
·
Windows Server 2003服务器群集创建和配
·
exchange2k3全套官方资料
·
双儿一周岁了。。。特殊的礼物来啦。。
·
存储备份技术版块守则
·
无盘技术交流区守则
·
DOS命令基础大全之命令详解<作者吐血
评论加载中…
