[맛보기]구글해킹
2017. 3. 28. 22:38
구글해킹
- 구글의 검색 연산자
연산자 | 사용 예 | 설명 |
AND | "가" & "나" | "가"와 "나"의 문자열을 모두 포함하는 문서 검색 |
"가" "나" | ||
"가" AND "나" | ||
OR | "가" | "나" | "가" 혹은 "나" 문자열을 포함하는 문서 검색 |
"가" OR "나" | ||
NOT | "가나다" - "한글" | "가나다"을 포함하고 "한글"을 제외하는 문서 검색 |
"가나다" NOT "한글" | ||
" " | "security" | 인용문구... 정확한 단어 혹은 ~ 문서 검색 |
~ | ~hacking | 동의어 또는 관련 검색어 함께 검색 |
* | sher**ck | 알 수 없는 단어 스펠링이 위치한 부분에 "*" 연산자를 이용 해 검색 |
*모아 *이다 | ||
... | .... | ... |
구글해킹
- Vi editor : .{파일명}.{확장자}.swp
- EditPlus, Ultra Edit : {파일명}.{확장자}.bak
- 기타 : {파일명}.{확장자}.back , .backup 등
또한 html.tar.gz , public_html.tar.gz , sql.sql , db.sql, backup.sql 등 실수로 백업파일을 남긴것이 검색에 노출가능
관리자 페이지 권한의 실수, 노출
대표적으로 /admin/ , /manager/
- http:// /admin/ , manager,master,administrator
- http://admin.xxx.com
- http://manager.xxx.com
=> 검색 : " site : xxx.com, inurl : admin "
기밀 업로드 파일의 관리실수
검색 : "inurl:/board/data/ , site:xxx.com "
- /pds/ , /upload/ , /up/ , /data/ , /file/ , /files/
디렉터리 리스팅
디렉터리 리스팅 취약점 :
웹서버 폴더 요청시 index 파일이 존재하지 않을 경우 파일 목록을 출력시켜주는 아파치의 옵션
Index of / public_html/board ....
=> 검색 "index of" "Parent Directory"
웹 쉘 노출
검색을 통해 다른 해커가 어느 서버에 생성한 웹 쉘을 찾아냈다면 구글 해킹만으로 서버 점령 가능
=> 검색만으로 이미 정렴된 많은 서버 쵝득 가능
구글해킹 도구
검색패턴 데이스베이스 사이트 (http://www.hackersforcharity.org/ghdb/)
'Web & Network' 카테고리의 다른 글
| [Web] StyleBot (0) | 2017.06.13 |
|---|---|
| [Web]코드편집기(아톰) (2) | 2017.06.12 |
| HTML Reference(HTML 사전) (1) | 2017.06.12 |
| [맛보기]파일 업로드 취약점 (0) | 2017.03.28 |
| [맛보기]웹해킹 맛보기 (0) | 2017.03.21 |