文僅做於[URL=http://www.heibai.net]技術[/URL]討論於研究,請勿用做其他用途.
前言
在[URL=http://www.heibai.net]網絡[/URL]攻擊的完整過程中,踩點(FootPrinting)無疑是一項既費時又費力的準備階段,如何能夠在紛繁複雜的[URL=http://www.heibai.net]網絡[/URL]上得到你所需要的敏感信息,除了通過WHOIS,DNS等主動查詢,充分利用搜尋引擎,實現更快更準確的被動信息搜集式攻擊,無疑是個更隱蔽有效的手段。
每天有不計其數的Spider爬行在浩瀚煙淼的[URL=http://www.heibai.net]網絡[/URL]上,隨便打開一個WEB日誌,就可以看到MSN,YAHOO,GOOGLE等各大搜尋引擎的Robot訪問的記錄,搜尋引擎通過這種方式收集到公開甚至私有的信息,很多正是我們想要的。於是Google Hacking成為Hacker們的新福音書。關於Google
Hacking 的語法已經有很多可以參考的文章,在此不再詳述,本文要談論的是簡單介紹一下當前幾個流行的GHK(Google Hacking
Kits),正所謂「工欲善其事,必先利其器」,利用GHK擺脫Web 提交的桎梏,輕鬆高效的利用Google進行攻擊。
正文
Here we come , Google Hacking三劍客。
阿託斯---Apollo
「阿託斯平素少言寡語,出口一言九鼎,遇事沉著冷靜,處世穩重老練,關鍵時刻,他是主事的靈魂和統帥。」
Apollo 作為國內Mimi & Spark的作品,經歷了從1.0到最新的3.0的歷練,已經是不可多得的GH殺手鐧。
Features
Apollo V3.0
Multiple Search Engines Support;
Open Configuration Architecture;
URL Preload;
Apollo V2.0
Domain Verification with GHDB (Like SiteDigger, but NO Google API License
Need);
Query Results Include All Responsed Pages;
Multi-Threads;
Logfile Support;
Apollo V1.0
Multi-Language Query;
URL List, Domain Name List and IP Address List Export;
File Download Based on Selected URL;
GHDB Support;
從1.0版本即支持GHDB(Google Hacking DataBase),而且獨特的統計結果中Domain Name和Ip
Address的功能,會在大量返回信息的檢索中起到不可忽視的作用,不錯的穩定性也是Apollo的一大亮點。
Official Website: [URL=http://worm.ccert.edu.cn/GoogleHacking/Apollo/index.html]http://worm.ccert.edu.cn/GoogleHacking/Apollo/index.html[/URL]
波託斯---MET
「波託斯頭腦簡單,胸無城府,大膽魯莽,貪錢愛財。」
MET(Massive Enumeration
Toolset)是一個用Python開發的Script,跨平臺無疑是其他兩個GHK與MET無法匹敵的優勢。MET需要google API的支持,所以需要去[URL=http://www.google.com/apis/]http://www.google.com/apis/[/URL] 申請一個 Google
API Key,並且注意有每日查詢返回結果不能超過1000條的限制。
Official Website: [URL=http://www.gnucitizen.org/met/]http://www.gnucitizen.org/met/[/URL]
在這裡你可以下載到最新的MET for linux/windows等各個平臺的版本,而且有詳細的Installation
Guide,只是目前還沒有User Manual
,甚是遺憾,而且由於MET還不是很完善(最新版本目前是0.5)相比於其他兩個GHK,宜用和穩定性稍顯不足。
阿拉米斯--- Athena
「阿拉米斯則是足智多謀,才思敏捷,溫文雅儒,風度翩翩,關鍵時刻,他是主事的參謀和智囊。」
Athena的命名真是跟Apollo相得益彰呀,同樣是希臘神話中神靈的名字,當然我們的Athena不會讓大家失望。同樣完美支持GHDB,與她的哥哥Apollo相比,更像一個專業的產品軟體,附帶的User
Guide圖文並茂,以至於在這裡再多說什麼都感覺有畫蛇添足之嫌,索性還是留給大家自己去品味吧,值得一提的是Athena可以和EXCEL配合使用,在高級查詢功能中作為處理i/o的一種選擇。
Official Website: [URL=http://www.snakeoillabs.com/]http://www.snakeoillabs.com/[/URL]
Athena 2.0:http://www.snakeoillabs.com/downloads/Athena2.0.msi
Athena Manual: [URL=http://www.snakeoillabs.com/downloads/Athena2.pdf]http://www.snakeoillabs.com/downloads/Athena2.pdf[/URL]
後記
想寫這樣一篇文章實在是很早之前就有打算了,可是一準備真正著手總是抓耳撓腮字字艱辛,這樣的痛苦持續了N久,今天終於下定決心把它付諸指端。起《Google
Hacking
三劍客》這樣的名字多少有些Romantic,必定不會討所有人的喜好,但個人卻按自以為是符合的很好,也就不在乎別人的攻擊或鄙視了,文章的初衷並不是寫一個《GHK從入門到精通》氣勢恢宏,流芳千古的美文,本人自知文筆實在笨拙,寫這樣寥寥幾百字的簡單介紹已是絞盡腦汁,各位看官就不要對此文再做太高的要求,「信」「達」即可,「美」是萬萬不敢想的。
衷心希望大家不要總是局限於國內的小圈子裡自得其樂,如果都能走出去,哪怕每人只是帶回少許的新鮮空氣,對整個國內的安全圈的氛圍的營造也許出自己的一份力量,也算對得起自己成長的這塊土地。
0