[转帖][推荐]google and hacking~!（大家暂时不要回复！！）

[这个贴子最后由凉心无悔在 2005/05/04 08:04pm 第 1 次编辑]

利用google进行入侵与渗透
吴鲁加 08/26/2004 个人主页：http://risker.org 网络日志：http://blog.xfocus.net/wlj/
在google已经成为搜索引擎代名词的今天，聪明的人们不断发掘google的新用途，2004年在拉斯维加斯举行的BlackHat大会上，有两位安全专家分别作了名为You found that on google ? 和google attacks 的主题演讲。个人觉得颇为精彩，因此编译整理，简单介绍，不求甚解，只是希望能够引起大家的重视。
1. 观点
google及类似的搜索引擎在为人们提供大量便捷的同时，也带来了一定潜在风险。
网络中的“有心人士”数目众多；
利用搜索引擎能够快速查找存在脆弱性的主机及其它设备；
利用搜索引擎能够快速查找包含敏感数据的信息；
利用搜索引擎的“扫描”极其隐蔽，并且由于其具有archive、cache等功能，往往数据量更大。
因此，需要人们提高警觉性，在善用搜索引擎的同时，也善于保护自己。
2. 案例
2.1 基础
所谓“工欲善其事，必先利其器”，要用google来进行“渗透测试”，首先当然要深入了解google了，建议对google不甚了解的人先参考这篇Google搜索从入门到精通。
而后简单了解google的一些操作符，如：site、inurl、filetype、intitle等……  
2.2 演示
要做的演示并不复杂，渗透测试人员在实施攻击之前，往往会先进行信息搜集工作，而后才是漏洞确认和最终的漏洞利用、扩大战果。在这里我们的目标是：通过google查找被人安装了php webshell后门的主机，并测试能否使用。
我们在google的搜索框中填入：
intitle:"php shell*" "Enable stderr" filetype:php
搜索结果中，或许你能找到一两够直接在机器上执行命令的web shell来。