★Kali信息收集~ 1.Google Hacking + Github Hacking

一、google hacking

  • site

    sitecnblogs.com 毒逆天

       

  • intitle

    intitle:login

       

  • allintitle

    allintitle:index of

       

    allinurl:forcedownload.php?file=

       

  • inurl

    inurl:/cgi-bin/MANGA/index.cgi

       

  • cache 快照页

    cache:stackoverflow.com

       

  • filetype

    filetype:pdf Kali Linux

       

  • site+filetype

    site:cnblogs.com filetype:pdf Linux

   

二、github hacking

  • 关键词搜索,自己构思即可
  • 案例:

Github不仅能托管代码,还能对代码进行搜索,我们感受到了其便利的同时,也应该时刻注意,当你上传并公开你的代码时,一时大意,让某些敏感的配置信息文件等暴露于众。

   

   

让我们从第一个例子开始。当搜索ssh password关键字时,其中里面有这样一个有趣的结果:

   

   

好像是一个捷克教育科研网络的,账号密码写的这么简洁明了,于是登录上去看一看。

   

   

是不是还挺欢乐的,早就有无数人登陆过了,还有人留下文本善意提醒。这意味着什么,Github早已被盯上,也许下一个大事件会是某漏洞导致Github私有库代码大量泄漏。

   

当我们在Github上搜索时,我们到底能搜到什么

   

能搜到的东西很多,这里只是给个思路,具体怎么玩自己去尝试。

   

邮箱

   

比如说以mail password关键字搜索:

   

   

   

搜索很多邮箱的帐号密码,这里就不一一列举了。

   

如果说用@qq.com或者是@gmail.com等各种邮箱后缀为关键字进行搜索,你会发现某商户收集的客户qq信息:

   

   

各种账号密码

   

Github上能搜到的账号密码实在是太多了,筛选一下你会发现很多有意思的。比如说有微信公众平台帐号:

   

   

居然连Github的登陆帐号也放在上面。。

   

   

各种VIP

   

万万没想到啊,没想到Github上还有这等福利!

   

   

   

百度云

   

尽管大部分链接已经失效,但是好资源还是有的。

   

   

简历

   

没想到还有很多人把包含个人信息的如此重要的简历也放在了Github上。搜索相关关键字resume,简历,学历:

   

   

其它

   

比如说有时候我需要微信开放平台的应用AppID(太懒,不想申请),于是搜索关键字WXApi registerApp,出来很多:

   

   

总之,鉴于越来越多人开始使用Github(非码农,比如说科学家,作家,音乐制作人,会计等职业),你可以在Github搜的内容也越来越多,不仅仅是代码,简直什么都有,什么某人做的笔记啊,写的小说啊,自拍照啊,还有书籍,论文等,简直出乎意料。

   

来自 <http://www.cnblogs.com/dunitian/p/4715482.html>

posted @ 2015-12-25 00:51  毒逆天  阅读(4488)  评论(0编辑  收藏  举报