谷歌语法的应用

Posted 2022-11-25 灿灿的金

site：可以限制你搜索范围的域名.

inurl：用于搜索网页上包含的URL，这个语法对寻找网页上的搜索，帮助之类的很有用.

intext: 只搜索网页部分中包含的文字(也就是忽略了标题、URL等的文字)

intitle: 查包含关键词的页面，一般用于社工别人的webshell密码

filetype：搜索文件的后缀或者扩展名

intitle：限制你搜索的网页标题.

link: 可以得到一个所有包含了某个指定URL的页面列表.

查找后台地址：site:域名 inurl:login|admin|manage|member|admin_login|login_admin|system|login|user|main|cms

查找文本内容：site:域名 intext:管理|后台|登陆|用户名|密码|验证码|系统|帐号|admin|login|sys|managetem|password|username

查找可注入点：site:域名 inurl:aspx|jsp|php|asp

查找上传漏洞：site:域名 inurl:file|load|editor|Files

找eweb编辑器：site:域名 inurl:ewebeditor|editor|uploadfile|eweb|edit

存在的数据库：site:域名 filetype:mdb|asp|#

查看脚本类型：site:域名 filetype:asp/aspx/php/jsp

网站的后台URL都是类似login.asp、admin.asp为结尾的，那么我们只要以“inurl:login.asp”、“inurl:admin.asp”为关键字进行搜索，同样可以找到很多网站的后台。此外，我们还可以搜索一下网站的数据库地址，以“inurl:data”、“inurl:db”为关键字进行搜索即可。

合理设置，防范Google Hack

合理设置网站
Google Hack貌似无孔不入，实则无非是利用了我们配置网站时的疏忽。例如上文中搜索“intext:to parent directory”即可找到很多可以浏览目录文件的网站，这都是由于没有设置好网站权限所造成的。在IIS中，设置用户访问网站权限时有一个选项，叫做“目录浏览”，如果你不小心选中了该项，那么其结果就如上文所述，可以让黑客肆意浏览你网站中的文件。
这种漏洞的防范方法十分简单，在设置用户权限时不要选中“目录浏览”选项即可。

不要选中该项
编写robots.txt文件
robot.txt是专门针对搜索引擎机器人robot编写的一个纯文本文件。我们可以在这个文件中说明网站中不想被robot访问的部分，这样，我们网站的部分或全部内容就可以不被搜索引擎收录了，或者让搜索引擎只收录指定的内容。因此我们可以利用robots.txt让Google的机器人访问不了我们网站上的重要文件，Google Hack的威胁也就不存在了。

编写的robots.txt文件内容如下：
User-agent: *
Disallow: /data/
Disallow: /db/

其中“Disallow”参数后面的是禁止robot收录部分的路径，例如我们要让robot禁止收录网站目录下的“data”文件夹，只需要在Disallow参数后面加上“/data/”即可。如果想增加其他目录，只需按此格式继续添加。文件编写完成后将其上传到网站的根目录，就可以让网站远离Google Hack了