Google Hacking(搜索引擎黑魔法)
🧠 目标:学习如何利用 Google 搜索高级语法,找到“别人不想让你看到的内容”。
这可是白帽、黑帽、渗透测试员、CTF 玩家都非常喜爱的技巧之一 😎
🔍 什么是 Google Hacking?
Google Hacking 又叫 Google Dorking,是一种利用 Google 的搜索语法来“挖掘信息”的技巧。通过特定关键词组合,可以找出:
-
误配置的服务器
-
公开的数据库文件
-
登录界面
-
敏感文档
-
弱密码页面
🧠 核心语法(常见 Dorks)
| Dork | 作用 | 示例 |
|---|---|---|
site: | 限定搜索某个网站 | site:example.com |
filetype: | 查找特定文件类型 | filetype:pdf password |
intitle: | 页面标题中包含关键词 | intitle:"index of" |
inurl: | URL 中包含关键词 | inurl:admin |
cache: | 查看 Google 的网页缓存 | cache:example.com |
ext: | 查找文件扩展名(类似 filetype) | ext:xls confidential |
💡 实战 Dork 示例
🧾 1. 查找公开的 Excel 文件
text
filetype:xls site:edu.cn
👉 搜索所有高校中,公开的 .xls 文件(可能包含名单、账号、数据)
🔑 2. 查找登录页面
text
inurl:login site:edu.cn
👉 搜索中国高校中出现的 login 页面
📁 3. 搜“文件索引页”泄露内容
text
intitle:"index of" "backup"
👉 搜索误配置服务器,自动列出 /backup/ 目录的内容(有时能看到数据库备份)
📄 4. 找敏感 PDF 报告
text
filetype:pdf "confidential" OR "internal use only"
👉 查找包含“机密”字眼的 PDF 报告(有趣又刺激😅)
🖥️ 5. 搜漏配置的摄像头管理页
text
inurl:"view/index.shtml"
👉 世界各地很多 IP 摄像头忘记加密码,可以直接观看 😨(⚠️ 我们不提倡未经授权地访问!)
🧠 实战技巧
-
多使用引号
""精确匹配 -
-keyword表示排除关键词 -
多词组合使用效果更佳
例子:
text
site:github.com inurl:"config" ext:yaml password
👉 搜 GitHub 上带密码的配置文件(现实中常见开发者“手滑上传”)
⚠️ 合法性提醒
Google Hacking 属于信息收集行为,只要你不进入后台、不破解密码、没有未授权访问行为,它就是合法的。
但如果你点进某些页面并尝试登录或执行修改操作,就有可能触法。
✅ 你可以现在上 Google 搜试试看一个 Dork(推荐用无痕窗口)
比如:
filetype:pdf site:un.org confidential
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
