完全探秘Google Hacking攻击(3)[多图] - 黑客技术 - 清风网络学院
来源:百度文库 编辑:神马文学网 时间:2024/04/28 05:19:37
(3)目录
上例中在咱们的演示中议决 “inurl:/inc+conn.asp ”语句看到了许多站点的目录。议决这个搜索语句攻击者能够阅读一些站点的目录。假如你足够细心的话,你还会看到它们都有一个共同点就是都含有“to parent directory ”这句话。那么咱们再构造对“to parent directory”看看。
竟然有16,900,000项契合条件的查询结果,太令让人惊讶了。出现 这个漏洞是服务器没有配置好而出现 的平安疑问,疑问就出在服务器的“目录阅读 ”上,不只 IIS和Apache存在这样的疑问,其它web服务器也存在这样的类似疑问。能够阅读站点的目录,那么攻击者就能够在站点的目录之间跳转,找到自身感兴趣的文件,比如 数据库,登录页面等等。
三、模仿测试
下面我议决多个实际的例子现身说法,看看google hacking的危害。
1、数据库:输入intext:to parent directory+intext:mdb语句,搜索站点数据库文件。
不只数据库文件能够下载,其他的asp文件也能够下载得到源代码。翻开刚下载的数据库,维护员的密码就悄然 松松得到了,接下来就是登录后台,上传木马和提权了,这里就不多讲了。
上例中在咱们的演示中议决 “inurl:/inc+conn.asp ”语句看到了许多站点的目录。议决这个搜索语句攻击者能够阅读一些站点的目录。假如你足够细心的话,你还会看到它们都有一个共同点就是都含有“to parent directory ”这句话。那么咱们再构造对“to parent directory”看看。
竟然有16,900,000项契合条件的查询结果,太令让人惊讶了。出现 这个漏洞是服务器没有配置好而出现 的平安疑问,疑问就出在服务器的“目录阅读 ”上,不只 IIS和Apache存在这样的疑问,其它web服务器也存在这样的类似疑问。能够阅读站点的目录,那么攻击者就能够在站点的目录之间跳转,找到自身感兴趣的文件,比如 数据库,登录页面等等。
三、模仿测试
下面我议决多个实际的例子现身说法,看看google hacking的危害。
1、数据库:输入intext:to parent directory+intext:mdb语句,搜索站点数据库文件。
不只数据库文件能够下载,其他的asp文件也能够下载得到源代码。翻开刚下载的数据库,维护员的密码就悄然 松松得到了,接下来就是登录后台,上传木马和提权了,这里就不多讲了。
完全探秘Google Hacking攻击(3)[多图] - 黑客技术 - 清风网络学院
完全探秘Google Hacking攻击(2)[多图] - 黑客技术 - 清风网络学院
完全探秘Google Hacking攻击(4)[多图] - 黑客技术 - 清风网络学院
黑客技术完全解析
google hacking的实现以及应用
google hacking的实现以及应用
Google Hacking的实现以及应用
Google Hacking的实现以及应用
黑客技术
黑客技术
黑客技术完全解析—我的黑色工具
黑客技术完全解析—我的黑色工具
Google Hacking基础(转载)-xiaozhou - 新浪BLOG
google中国总部探秘
Google 数据中心探秘
google中国总部探秘
网络学院
网络学院
网络学院
鲍尔默攻击Google同时不忘表扬
黑客技术速成
【IT时代】google中国总部探秘
Google App Engine上传文件方法 - 清风小荷塘
命运的几大定律与原则 一(有心者必须看看!) - 成功励志 - 清风网络学院