Hacker语法系列:
第一章: 关于路由器,摄像头,防火墙的搜索方法(IOT设备)
第二章:关于Web网页的搜索方法
第三章:关于网站服务端的搜索方法
第四章:关于网站伪协议的搜索方法
目录
Google是一个功能强大的搜索引擎,通过预定义命令,可以查询出令人难以置信的结果。利用Google搜索智能搜索,甚至可以进入部分远程服务器获取机密、搜索敏感信息,造成信息泄露。本文从安全角度,对Google这一工具进行深度信息挖掘。
googlehack常用语法:
site===>指定域名
intext===>正文中存在关键字的网页
intitle===>标题中存在关键字的网页
info===>一些基本信息
inurl URL===>存在关键字的网页
filetype===>搜索指定文件类型
site:gov.cn inurl:.login.asp (z政府网站后台)
inurl:gov.cn/admin (百度就可以)
inurl:gitlab 公司 filetype:txt
inurl:gitlab 公司 intext:账号
site:gitlab.*.com intext:密码
filetype:xls site: 名单 //信息泄露
inurl /search_results.php search= XSS 漏洞
site:域名 inurl:admin
link:baidu.com (将返回所有包含指向baidu.com的网页)
related:llhc.edu.cn (将返回与llhc.edu.cn相似的页面,相似指的是网页的布局相似)
site:baidu.com (inur:Login 将只在baidu.com中查找urI中含有Login的网页)
site:baidu.com (filetype:pdf 将只返回baidu.com站点上文件类型为pdf的网页)
"Sorting Logs:" "Please enter your password" "Powered By" -urlscan -alamy 找到stealer僵尸网络控制面板
intitle:"Authorization" "TF" inurl:"admin.php" 找到一堆未受保护的僵尸网络控制面板
"KVP_ENCDATA:Version=1.0" ext:log 查找具有银行帐户信息的交易记录
"START securepay" ext:log 查找交易记录(有时包含信用卡号码和其他多汁的信息
"LGD_CARDNUM" ext:log -site:camper.com 查找部分信用卡号,银行帐户信息
主要分为检索字段以及运算符,所有的查询语句都是由这两种元素组成的。目前支持的检索字段包括:domain,host,ip,title,server,header,body,port,cert,country,city,os,appserver,middleware,language,tags,user_tag等等,支持的逻辑运算符包括:=(表示弱匹配) ,==(表示全匹配),!= ,&&,||
真实ip探测–fofa小技巧
1.先使用title搜一下,ip与目标网站有关的。
2.然后查找证书 (列如: 0E 3C C1 49 94 B3 E1 74 A6 34 54 D9 90 64 66 D7)
3.然后转换为10进制
4.使用fofa,搜证书就行
ip=“1.1.1.1” 从ip中搜索包含“1.1.1.1”的网站 搜索要用ip作为名称
ip="220.181.111.1/24" 查询IP为“220.181.111.1”的C网段资产
CIDR:192.168.158.12/24 指定搜索的CIDR网段 -
is_ipv6=true 搜索ipv6的资产 搜索ipv6的资产,只接受true和false。
ip_ports="80,161" 搜索同时开放80和161端口的ip 搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
port_size="6" 查询开放端口数量等于"6"的资产 仅限FOFA会员使用
port_size_gt="3" 查询开放端口数量大于"3"的资产 仅限FOFA会员使用
port_size_lt="12" 查询开放端口数量小于"12"的资产 仅限FOFA会员使用
after="2017" && before="2017-10-01" 时间范围段搜索 -
ip_after="2019-01-01" 搜索2019-01-01以后的ip资产(以ip为单位的资产数据)。 搜索2019-01-01以后的ip资产
ip_before="2019-07-01" 搜索2019-07-01以前的ip资产(以ip为单位的资产数据)。 搜索2019-07-01以前的ip资产-
country="CN" 搜索指定国家(编码)的资产。 -
city="Hangzhou" 搜索指定城市的资产。 -
ip_city="Hangzhou" 搜索指定城市的ip资产(以ip为单位的资产数据)。 搜索指定城市的资产
region="Zhejiang" 搜索指定行政区的资产。 -
ip_region="Zhejiang" 搜索指定行政区的ip资产(以ip为单位的资产数据)。 搜索指定行政区的资产
ip_country="CN" 搜索中国的ip资产(以ip为单位的资产数据)。 搜索中国的ip资产
今天的分享就到这里了,希望大家在大学四年的时光有所收获。再次感谢大家的访问!我是面包and牛奶,我们下期再见 (可能会鸽很久很久)。 鹅鹅鹅!!!
我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div
总的来说,我对ruby还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用
类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc
我正在尝试设置一个puppet节点,但rubygems似乎不正常。如果我通过它自己的二进制文件(/usr/lib/ruby/gems/1.8/gems/facter-1.5.8/bin/facter)在cli上运行facter,它工作正常,但如果我通过由rubygems(/usr/bin/facter)安装的二进制文件,它抛出:/usr/lib/ruby/1.8/facter/uptime.rb:11:undefinedmethod`get_uptime'forFacter::Util::Uptime:Module(NoMethodError)from/usr/lib/ruby
我想了解Ruby方法methods()是如何工作的。我尝试使用“ruby方法”在Google上搜索,但这不是我需要的。我也看过ruby-doc.org,但我没有找到这种方法。你能详细解释一下它是如何工作的或者给我一个链接吗?更新我用methods()方法做了实验,得到了这样的结果:'labrat'代码classFirstdeffirst_instance_mymethodenddefself.first_class_mymethodendendclassSecond使用类#returnsavailablemethodslistforclassandancestorsputsSeco
我在我的项目中添加了一个系统来重置用户密码并通过电子邮件将密码发送给他,以防他忘记密码。昨天它运行良好(当我实现它时)。当我今天尝试启动服务器时,出现以下错误。=>BootingWEBrick=>Rails3.2.1applicationstartingindevelopmentonhttp://0.0.0.0:3000=>Callwith-dtodetach=>Ctrl-CtoshutdownserverExiting/Users/vinayshenoy/.rvm/gems/ruby-1.9.3-p0/gems/actionmailer-3.2.1/lib/action_mailer
设置:狂欢ruby1.9.2高线(1.6.13)描述:我已经相当习惯在其他一些项目中使用highline,但已经有几个月没有使用它了。现在,在Ruby1.9.2上全新安装时,它似乎不允许在同一行回答提示。所以以前我会看到类似的东西:require"highline/import"ask"Whatisyourfavoritecolor?"并得到:Whatisyourfavoritecolor?|现在我看到类似的东西:Whatisyourfavoritecolor?|竖线(|)符号是我的终端光标。知道为什么会发生这种变化吗? 最佳答案
我已经从我的命令行中获得了一切,所以我可以运行rubymyfile并且它可以正常工作。但是当我尝试从sublime中运行它时,我得到了undefinedmethod`require_relative'formain:Object有人知道我的sublime设置中缺少什么吗?我正在使用OSX并安装了rvm。 最佳答案 或者,您可以只使用“require”,它应该可以正常工作。我认为“require_relative”仅适用于ruby1.9+ 关于ruby-主要:Objectwhenrun
我有一个具有一些属性的模型:attr1、attr2和attr3。我需要在不执行回调和验证的情况下更新此属性。我找到了update_column方法,但我想同时更新三个属性。我需要这样的东西:update_columns({attr1:val1,attr2:val2,attr3:val3})代替update_column(attr1,val1)update_column(attr2,val2)update_column(attr3,val3) 最佳答案 您可以使用update_columns(attr1:val1,attr2:val2
我不确定传递给方法的对象的类型是否正确。我可能会将一个字符串传递给一个只能处理整数的函数。某种运行时保证怎么样?我看不到比以下更好的选择:defsomeFixNumMangler(input)raise"wrongtype:integerrequired"unlessinput.class==FixNumother_stuffend有更好的选择吗? 最佳答案 使用Kernel#Integer在使用之前转换输入的方法。当无法以任何合理的方式将输入转换为整数时,它将引发ArgumentError。defmy_method(number)