آموزش گوگل هکینگ – قسمت دوم

Google Hacking روشی است که نفوذگران از آن برای بدست آوردن اطلاعات حساس یا پیدا کردن آسیب پذیری های قابل سوء استفاده / exploitable استفاده میکنند.

در قسمت قبل با چند تا از عملگر های گوگل آشنا شدیم و توی این قسمت میخواهیم به بررسی بیشتر عملگر هایی جستجویی که میتوانیم از آن ها استفاده کنیم بپردازیم.

پیدا کردن آسیب پذیری قابل اکسپلویت با گوگل !

توی قسمت اول با عملگر inurl آشنا شدید ! به دستور زیر دقت کنید :

اگر ویدئو های دوره آموزشی امنیت وب رو مشاهده کرده باشید حتما با آسیب پذیری SQL Injection آشنایی دارید! برای اینکه نفوذگران بیایند و تعداد سطر های زیادی را چاپ کنند از group_concat استفاده میکنند. شاید شما دنبال سایت های آسیب پذیر به SQL Injection باشید و مدت زیادی رو برای پیدا کردن سایت آسیب پذیر صرف کنید ! اما چه آسان میتونید به مرحله آخر تزریق دسترسی داشته باشید.

google_hacking_2-1

یکی از سایت های نتیجه جستجو رو باز میکنیم !

google_hacking_2-2

بله ! همانطور که مشاهده میکنید ما به مرحله آخر اینجکت رسیدیم ! این شکل دستورات رو میتونید برای پیدا کردن آسیب پذیری های دیگه مثل LFI – RCE – XSS و … هم استفاده کنیم !

عملگر های ویژه

ما میتوانیم در عبارت های سرچ شده امان از عملگر های ویژه ای استفاده کنیم !

  • (+) : به زور گنجاندن چیزی مشترک
  • (-) : حذف چیزی از جستجو
  • (“) : استفاده از نقل قول
  • (.) : کلمات تک نویسه
  • (*) : هر کلمه ای
  • (|) : به معنای یا / OR

برای مثال به جستجوی زیر دقت کنید :

 

google_hacking_2-3

همانطور که میبینید از دامنه www.microsoft.com نیز صفحاتی میایند من میخواهم زیر دامنه ها را مشاهده کنم فقط ، پس از این شکل Query استفاده میکنیم !

google_hacking_2-4

میبینید که توی لیست نتیجه ها ، نتیجه هایی که مربوط به www.microsoft.com بود حذف شد !

شما میتوانید از عملگر های ویژه برای ساختن جستجو های بسیار جالب استفاده کنید !

Port Scanning با استفاده از گوگل !

البته این روش ، روش قدرتمندی نیست و همیشه نتیجه ۱۰۰ درصدی ندارد و استفاده از ابزار هایی مثل nmap یا سایت های آنلاین برای انجام اینکار بهتر هست. اما اگر سایت جای port شماره ۸۰ از port دیگه ای استفاده کرده باشد شما میتوانید از طریق این شکل دستورات به آن دسترسی پیدا کنید !

google_hacking_2-5

مثالی دیگر از گوگل هکینگ با استفاده از intext !

دیدید که در عبارت بالا intext تاثیر مهمی داشت .. اما کاربرد آن فقط به اینجا خلاصه نمیشود و ما میتوانیم با ترکیبی از عملگر ها به نتایج جالبی برسیم !

برای مثال به جستجوی زیر دقت کنید :

google_hacking_2-6

مشاهده میکنید که ما تونستیم دایرکتوری های زیادی که به صورت عمومی قابل دسترس هست رو پیدا کنیم !

میتوانید با ترکیب عملگر های مختلف به نتایج بسیار جالبی برسید ! در قسمت بعدی از مقاله ابزار هایی که برای گوگل هکینگ کاربرد دارند را معرفی خواهیم کرد !

 

ارسال نظر

ایمیل شما منتشر نخواهد شد. پر کردن ورودی ها الزامی است. *

*

چهار × 4 =