文章作者:
dune2.arrakis at gmail.com
信息来源:邪恶八进制信息安全团队(
www.eviloctal.com)
本文仅做于技术讨论于研究,请勿用做其他用途.
前言
在网络攻击的完整过程中,踩点(FootPrinting)无疑是一项既费时又费力的准备阶段,如何能够在纷繁复杂的网络上得到你所需要的敏感信息,除了通过WHOIS,DNS等主动查询,充分利用搜索引擎,实现更快更准确的被动信息搜集式攻击,无疑是个更隐蔽有效的手段。
每天有不计其数的Spider爬行在浩瀚烟淼的网络上,随便打开一个WEB日志,就可以看到MSN,YAHOO,GOOGLE等各大搜索引擎的Robot访问的记录,搜索引擎通过这种方式收集到公开甚至私有的信息,很多正是我们想要的。于是Google Hacking成为Hacker们的新福音书。关于Google Hacking 的语法已经有很多可以参考的文章,在此不再详述,本文要谈论的是简单介绍一下当前几个流行的GHK(Google Hacking Kits),正所谓“工欲善其事,必先利其器”,利用GHK摆脱Web 提交的桎梏,轻松高效的利用Google进行攻击。
正文
Here we come , Google Hacking三剑客。
阿托斯---Apollo
“阿托斯平素少言寡语,出口一言九鼎,遇事沉着冷静,处世稳重老练,关键时刻,他是主事的灵魂和统帅。”Apollo 作为国内Mimi & Spark的作品,经历了从1.0到最新的3.0的历练,已经是不可多得的GH杀手锏。
Features
Apollo V3.0
Multiple Search Engines Support;
Open Configuration Architecture;
URL Preload;
Apollo V2.0
Domain Verification with GHDB (Like SiteDigger, but NO Google API License Need);
Query Results Include All Responsed Pages;
Multi-Threads;
Logfile Support;
Apollo V1.0
Multi-Language Query;
URL List, Domain Name List and IP Address List Export;
File Download Based on Selected URL;
GHDB Support;
从1.0版本即支持GHDB(Google Hacking DataBase),而且独特的统计结果中Domain Name和Ip Address的功能,会在大量返回信息的检索中起到不可忽视的作用,不错的稳定性也是Apollo的一大亮点。
Official Website:
http://worm.ccert.edu.cn/GoogleHacking/Apollo/index.html
波托斯---MET
“波托斯头脑简单,胸无城府,大胆鲁莽,贪钱爱财。”
MET(Massive Enumeration Toolset)是一个用Python开发的Script,跨平台无疑是其他两个GHK与MET无法匹敌的优势。MET需要google API的支持,所以需要去
http://www.google.com/apis/ 申请一个 Google API Key,并且注意有每日查询返回结果不能超过1000条的限制。
Official Website:
http://www.gnucitizen.org/met/
在这里你可以下载到最新的MET for linux/windows等各个平台的版本,而且有详细的Installation Guide,只是目前还没有User Manual ,甚是遗憾,而且由于MET还不是很完善(最新版本目前是0.5)相比于其他两个GHK,宜用和稳定性稍显不足。
阿拉米斯--- Athena
“阿拉米斯则是足智多谋,才思敏捷,温文雅儒,风度翩翩,关键时刻,他是主事的参谋和智囊。”
Athena的命名真是跟Apollo相得益彰呀,同样是希腊神话中神灵的名字,当然我们的Athena不会让大家失望。同样完美支持GHDB,与她的哥哥Apollo相比,更像一个专业的产品软件,附带的User Guide图文并茂,以至于在这里再多说什么都感觉有画蛇添足之嫌,索性还是留给大家自己去品味吧,值得一提的是Athena可以和EXCEL配合使用,在高级查询功能中作为处理i/o的一种选择。
Official Website:
http://www.snakeoillabs.com/
Athena 2.0:
http://www.snakeoillabs.com/downloads/Athena2.0.msi
Athena Manual:
http://www.snakeoillabs.com/downloads/Athena2.pdf
后记
想写这样一篇文章实在是很早之前就有打算了,可是一准备真正着手总是抓耳挠腮字字艰辛,这样的痛苦持续了N久,今天终于下定决心把它付诸指端。起《Google Hacking 三剑客》这样的名字多少有些Romantic,必定不会讨所有人的喜好,但个人却按自以为是符合的很好,也就不在乎别人的攻击或鄙视了,文章的初衷并不是写一个《GHK从入门到精通》气势恢宏,流芳千古的美文,本人自知文笔实在笨拙,写这样寥寥几百字的简单介绍已是绞尽脑汁,各位看官就不要对此文再做太高的要求,“信”“达”即可,“美”是万万不敢想的。
衷心希望大家不要总是局限于国内的小圈子里自得其乐,如果都能走出去,哪怕每人只是带回少许的新鲜空气,对整个国内的安全圈的氛围的营造也许出自己的一份力量,也算对得起自己成长的这块土地。
