信息收集 | 谷歌语法Github及利用方式

• 2020 年 2 月 16 日
• 筆記

声明：文章仅供学习参考，请勿用作非法途径，否则后果自负。

02

简单介绍

GoogleHack（谷歌语法）是指通过一系列指令在Google上进行信息搜索，从而快速搜索到指定的目标。比如使用搜索包含指定url：inurl:xxx，搜索包含指定标题：intitle:xxx。使用这种搜索方式通常可以避免大海捞针式的搜索目标，可以极大的缩小搜索范围，甚至直接定位到自己想要的目标。同样的技巧还有很多，常用的Github也可以实现。

02

收集方式

1

谷歌语法

后台地址

site:xxx.xxx 管理后台/登陆/管理员/系统

site:xxx.xxx inurl:login/admin/system/guanli/denglu

敏感文件

site:xxx.xxx filetype:pdf/doc/xls/txt

site:xxx.xxx filetype:log/sql/conf

测试环境

site:xxx.xxx inurl:test/ceshi

site:xxx.xxx intitle:测试

邮箱/QQ/群

site:xxx.xxx 邮件/email

site:xxx.xxx qq/群/企鹅/腾讯

其他

site:xxx.xxx inurl:api

site:xxx.xxx inurl:uid=/id=

site:xxx.xxx intitle:index of

2

Github搜索

搜索特殊关键词

@xxx.com password/secret/credentials/token

@xxx.com config/key/pass/login/ftp/pwd

搜索连接凭证

@xxx.com security_credentials/connetionstring

@xxx.com JDBC/ssh2_auth_password/send_keys

3

工具推荐

GSIL地址 https://github.com/FeeiCN/GSIL

GitPrey地址 https://github.com/repoog/GitPrey

Nuggests地址 https://github.com/az0ne/Github_Nuggests

theHarvester地址 https://github.com/laramies/theHarvester

02

利用方式

通过Googlehack的搜索技巧，可以快速找到后台地址、敏感文件、测试环境、邮箱、QQ群、敏感接口等重要信息。

而在github上不仅可以找到很多网站、框架的源码等，也可以找到注入用户名、口令、数据库配置等信息，如下图所示敏感信息泄露和数据库配置泄露。