Novi inurl misc php do. Operatori tražilice Google i Yandex. "podupirač za knjige"

Pokrenite preuzetu datoteku dvostrukim klikom (morate imati virtualni stroj ).

3. Anonimnost prilikom provjere stranice za SQL injekcije

Postavljanje Tor i Privoxy u Kali Linuxu

[Odjeljak u razvoju]

Postavljanje Tor i Privoxy na Windows

[Odjeljak u razvoju]

Postavke proxyja za jSQL Injection

[Odjeljak u razvoju]

4. Provjera stranice za SQL injekciju s jSQL injekcijom

Rad s programom iznimno je jednostavan. Samo unesite adresu stranice i pritisnite ENTER.

Sljedeća snimka zaslona pokazuje da je stranica ranjiva na tri vrste SQL injekcija odjednom (informacije o njima su naznačene u donjem desnom kutu). Klikom na nazive injekcija možete promijeniti korištenu metodu:

Također, već smo prikazali postojeće baze podataka.

Možete vidjeti sadržaj svake tablice:

Obično su najzanimljiviji dio tablica administratorske vjerodajnice.

Ako imate sreće i pronašli ste podatke administratora, onda je prerano za radovanje. Također morate pronaći administratorsku ploču, gdje ćete unijeti te podatke.

5. Potražite administratore pomoću jSQL injekcije

Da biste to učinili, idite na sljedeću karticu. Ovdje nas čeka popis mogućih adresa. Možete odabrati jednu ili više stranica za provjeru:

Pogodnost je u tome što ne morate koristiti druge programe.

Nažalost, nemarni programeri koji spremaju lozinke u otvoreni oblik, ne mnogo. Vrlo često u nizu lozinke vidimo nešto poput

8743b52063cd84097a65d1633f5c74f5

Ovo je hash. Možete ga dešifrirati grubom silom. I... jSQL Injection ima ugrađeni brute-forcer.

6. Brute-forcing hashovi s jSQL injekcijom

Nedvojbena pogodnost je da ne morate tražiti druge programe. Postoji podrška za mnoge od najpopularnijih hashova.

Ovo nije najbolja opcija. Kako biste postali guru u dešifriranju hashova, preporučuje se knjiga "" na ruskom.

Ali, naravno, kada nema drugog programa pri ruci ili nema vremena za učenje, dobro će doći jSQL Injection s ugrađenom brute-force funkcijom.

Postoje postavke: možete postaviti koji znakovi su uključeni u lozinku, raspon duljine lozinke.

7. Datotečne operacije nakon detekcije SQL injekcije

Osim operacija s bazama podataka - njihovo čitanje i modificiranje, ako se otkriju SQL injekcije, mogu se izvesti sljedeće operacije s datotekama:

• čitanje datoteka na poslužitelju
• učitavanje novih datoteka na poslužitelj
• učitavanje školjki na poslužitelj

I sve je to implementirano u jSQL Injection!

Postoje ograničenja - SQL poslužitelj mora imati privilegije nad datotekama. Za razumne administratore sustava, oni su onemogućeni i imaju pristup sustav datoteka ne može se dobiti.

Prisutnost privilegija datoteka dovoljno je lako provjeriti. Idite na jednu od kartica (čitanje datoteka, stvaranje ljuske, učitavanje nove datoteke) i pokušajte izvesti jednu od navedenih operacija.

Još jedna vrlo važna napomena – moramo znati točan apsolutni put do datoteke s kojom ćemo raditi – inače ništa neće raditi.

Pogledajte sljedeću snimku zaslona:

Na svaki pokušaj rada s datotekom odgovara: Nema privilegija FILE(bez datoteka privilegija). I tu se ništa ne može učiniti.

Ako umjesto toga imate drugu grešku:

Problem sa pisanjem u [directory_name]

To znači da ste pogrešno naveli apsolutnu stazu na koju želite upisati datoteku.

Da bi se pretpostavio apsolutni put, mora se barem znati operativni sustav na kojem poslužitelj radi. Da biste to učinili, prijeđite na karticu Mreža.

Takav unos (niz Win64) daje nam razloga pretpostaviti da imamo posla s Windows OS-om:

Keep-Alive: timeout=5, max=99 Poslužitelj: Apache/2.4.17 (Win64) PHP/7.0.0RC6 Veza: Keep-Alive Metoda: HTTP/1.1 200 OK Dužina sadržaja: 353 Datum: pet, 11. prosinca 2015. 11:48:31 GMT X-Powered-By: PHP/7.0.0RC6 Content-Type: text/html; skup znakova=UTF-8

Ovdje imamo neki Unix (*BSD, Linux):

Transfer-Encoding: chunked Datum: pet, 11. prosinca 2015. 11:57:02 GMT Metoda: HTTP/1.1 200 OK Keep-Alive: timeout=3, max=100 Veza: Keep-alive Content-Type: text/html X- Powered-By: PHP/5.3.29 Poslužitelj: Apache/2.2.31 (Unix)

I ovdje imamo CentOS:

Metoda: HTTP/1.1 200 OK Istječe: čet, 19. studenog 1981. 08:52:00 GMT Set-Cookie: PHPSESSID=9p60gtunrv7g41iurr814h9rd0; path=/ Veza: Keep-alive X-Cache-Lookup: MISS s t1.hoster.ru:6666 Server: Apache/2.2.15 (CentOS) X-Powered-By: PHP/5.4.37 X-Cache: MISS od t1.hoster.ru Kontrola predmemorije: bez pohrane, bez predmemorije, mora se ponovno potvrditi, naknadna provjera=0, prethodna provjera=0 Pragma: bez predmemorije Datum: pet, 11. prosinca 2015. 12:08:54 GMT Transfer-Encoding: chunked Content-Type: text/html; charset=WINDOWS-1251

U sustavu Windows tipična mapa web-mjesta je C:\Server\data\htdocs\. Ali, zapravo, ako je netko "smislio" napraviti poslužitelj na Windowsima, onda, vrlo vjerojatno, ta osoba nije čula ništa o privilegijama. Stoga biste trebali početi pokušavati izravno iz direktorija C: / Windows /:

Kao što vidite, prvi put je sve prošlo savršeno.

Ali same ljuske jSQL Injection izazivaju moje sumnje. Ako imate privilegije nad datotekama, možete prenijeti nešto s web sučeljem.

8. Mjesta za masovnu provjeru za SQL injekcije

Čak i jSQL Injection ima ovu značajku. Sve je krajnje jednostavno - prenesite popis stranica (može se uvesti iz datoteke), odaberite one koje želite provjeriti i kliknite odgovarajući gumb za početak operacije.

Izlaz putem jSQL injekcije

jSQL Injection je dobar, moćan alat za pronalaženje i zatim korištenje SQL injekcija koje se nalaze na web stranicama. Njegove nedvojbene prednosti: jednostavnost korištenja, ugrađene povezane funkcije. jSQL Injection može biti najbolji prijatelj početnika kada analizira web stranice.

Među nedostatcima istaknuo bih nemogućnost uređivanja baza podataka (prema barem Nisam pronašao ovu funkciju. Kao i kod svih alata s grafičkim sučeljem, nemogućnost korištenja u skriptama može se pripisati nedostacima ovog programa. Ipak, moguća je i određena automatizacija u ovom programu - zahvaljujući ugrađenoj funkciji masovne provjere mjesta.

utvrđeni uzorak i potvrda. Poseban popust za sve fakultete i kolegije!

SSY stoji za Siddha Samadhi Yoga(često prošireno kao 'Znanost yoge tišine') gdje Siddha znači 'nešto (tj. znanje) što je dokazano ili postignuto', Samadhi znači 'stanje u kojem je intelekt jednak' i joga znači 'jedinjenje s vlastitim višim ja'.

SSY je temeljno znanje o životu. Naši drevni riši formulirali su jedinstveni način treninga nazvan Brahmopadesam, koji je uputa o znanosti o nečinjenju i doživljaju mirnoće unutar i obilja izvana. To dovodi do velike promjene u nečijem pogledu na život i utječe na izvanrednu zrelost pojedinca. SSY nije ništa drugo nego današnja verzija ove drevne znanosti o Brahmopadesamu.

SSY kao program obuke nudiLife Yessence Academy (LiYA), i to je vodeći program institucije. Kao vodeći program, postao je sinonim za ime organizacije. Obuke ovog velikog znanja predaju na mnogim mjestima u svijetu učitelji LiYA-e. Indijsko poglavlje LiYA zove seRishi Samskruti Vidya Kendra (RSVK)).

“Ja sam tijelo” je prvi pojam koji ubija buđenje. SSY je proces
Ući u Samadhi, stanje potpune odvojenosti." -Guruji

Google tražilica (www.google.com) nudi mnoge mogućnosti pretraživanja. Sve ove značajke su neprocjenjiv alat za pretraživanje za prvog korisnika Interneta i ujedno još snažnije oružje invazije i uništenja u rukama ljudi sa zlim namjerama, uključujući ne samo hakere, već i neračunalne kriminalce pa čak i terorista.
(9475 pregleda u 1 tjednu)

Denis Batrankov
denisNOSPAMixi.ru

Pažnja:Ovaj članak nije vodič za djelovanje. Ovaj članak je napisan za vas, administratore WEB poslužitelja, kako biste izgubili lažni osjećaj da ste sigurni, a konačno shvatili podmuklost ovakvog načina dobivanja informacija i krenuli u zaštitu svoje stranice.

Uvod

Na primjer, pronašao sam 1670 stranica za 0,14 sekundi!

2. Unesite drugi redak, na primjer:

inurl:"auth_user_file.txt"

malo manje, ali ovo je već dovoljno za besplatno preuzimanje i za pogađanje lozinki (pomoću istog Johna The Rippera). U nastavku ću dati još nekoliko primjera.

Dakle, morate shvatiti da je Google tražilica posjetila većinu internetskih stranica i spremila informacije sadržane na njima. Ove predmemorirane informacije omogućuju vam da dobijete informacije o mjestu i sadržaju stranice bez izravna veza na web-mjesto, udubljujući se samo u informacije koje su pohranjene unutar Googlea. Štoviše, ako informacije na web mjestu više nisu dostupne, informacije u predmemoriji mogu i dalje biti sačuvane. Sve što je potrebno za ovu metodu je znati neke Google ključne riječi. Ova tehnika se zove Google Hacking.

Prvi put su se informacije o Google Hackingu pojavile na Bugtruck mailing listi prije 3 godine. 2001. godine ovu temu pokrenuo je jedan francuski student. Ovdje je poveznica na ovo pismo http://www.cotse.com/mailing-lists/bugtraq/2001/Nov/0129.html. Daje se prvi primjeri takvih zahtjeva:

1) Indeks /admin
2) Indeks /lozinke
3) Indeks /mail
4) Indeks / +banques +filetype:xls (za Francusku...)
5) Indeks / +passwd
6) Indeks/lozinka.txt

Ova je tema nedavno napravila veliku buku u dijelu interneta koji čita engleski jezik: nakon članka Johnnyja Longa objavljenog 7. svibnja 2004. Za potpuniju studiju Google Hackinga, savjetujem vam da odete na stranicu ovog autora http://johnny.ihackstuff.com. U ovom članku samo vas želim obavijestiti o novostima.

Tko ga može koristiti:
- Novinari, špijuni i svi oni koji vole zabadati nos u tuđe poslove mogu to iskoristiti za traženje kompromitirajućih dokaza.
- Hakeri traže prikladne mete za hakiranje.

Kako Google radi.

Za nastavak razgovora, dopustite mi da vas podsjetim na neke od ključne riječi koristi se u Google upitima.

Tražite pomoću znaka +

Google isključuje nevažne, po njegovu mišljenju, riječi iz pretraživanja. Na primjer, upitne riječi, prijedlozi i članci u Engleski jezik: na primjer su, od, gdje. Čini se da na ruskom Google sve riječi smatra važnima. Ako je riječ isključena iz pretraživanja, Google piše o njoj. Kako bi Google počeo tražiti stranice s ovim riječima, morate dodati znak + ispred njih bez razmaka ispred riječi. Na primjer:

as + od baze

Traži po znaku -

Ako Google pronađe veliki broj stranica s kojih je potrebno isključiti stranice s određenim temama, onda možete natjerati Google da traži samo stranice koje ne sadrže određene riječi. Da biste to učinili, trebate naznačiti ove riječi stavljanjem znaka ispred svake - bez razmaka ispred riječi. Na primjer:

ribolov - votka

Tražite znakom ~

Možda ćete htjeti potražiti ne samo navedenu riječ, već i njezine sinonime. Da biste to učinili, ispred riječi stavite simbol ~.

Pronalaženje točne fraze pomoću dvostrukih navodnika

Google na svakoj stranici traži sva pojavljivanja riječi koje ste napisali u nizu upita i nije ga briga za relativni položaj riječi, glavna stvar je da se sve navedene riječi nalaze na stranici u isto vrijeme ( ovo je zadana radnja). Da biste pronašli točnu frazu, trebate je staviti pod navodnike. Na primjer:

"podupirač za knjige"

Da biste imali barem jednu od navedenih riječi, morate navesti logička operacija izričito: ILI. Na primjer:

knjiga sigurnost ILI zaštita

Osim toga, možete koristiti znak * u nizu za pretraživanje za označavanje bilo koje riječi i. predstavljati bilo koji lik.

Pronalaženje riječi s dodatnim operatorima

postojati operatori pretraživanja, koji su navedeni u nizu za pretraživanje u formatu:

operator:pojam_traži

Prostori pored debelog crijeva nisu potrebni. Ako umetnete razmak iza dvotočke, vidjet ćete poruku o pogrešci, a prije nje Google će ih koristiti kao normalni niz za pretraživanje.
Postoje grupe dodatnih operatora pretraživanja: jezici - naznačite na kojem jeziku želite vidjeti rezultat, datum - ograničiti rezultate za posljednja tri, šest ili 12 mjeseci, pojavljivanja - naznačiti gdje u dokumentu trebate tražiti string: posvuda, u naslovu, u URL-u, domene - pretražite navedenu stranicu ili obrnuto isključite je iz pretraživanja, sigurno pretraživanje - blokirajte web-mjesta koja sadrže navedenu vrstu informacija i uklonite ih sa stranica s rezultatima pretraživanja.
Međutim, neki operatori ne trebaju dodatni parametar, na primjer, upit " predmemorija: www.google.com" može se nazvati kao puni niz za pretraživanje, a neke ključne riječi, naprotiv, zahtijevaju riječ za pretraživanje, na primjer " site:www.google.com pomoć". U svjetlu naše teme, pogledajmo sljedeće operatore:

Operater	Opis	Zahtijeva dodatni parametar?
	tražite samo web mjesto navedeno u search_term
	pretraži samo u dokumentima s tipom search_term
	pronaći stranice koje sadrže pojam za pretraživanje u naslovu
	pronaći stranice koje sadrže sve riječi search_term u naslovu
	pronaći stranice koje u svojoj adresi sadrže riječ search_term
	pronaći stranice koje sadrže sve riječi search_term u svojoj adresi

Operater stranica: ograničava pretragu samo na navedeno mjesto, a možete odrediti ne samo Naziv domene ali i IP adresu. Na primjer, unesite:

Operater Vrsta datoteke: ograničava pretraživanja na datoteke određene vrste. Na primjer:

Od datuma ovog članka, Google može pretraživati ​​unutar 13 različitih formata datoteka:

• Adobe Portable Document Format (pdf)
• Adobe PostScript (ps)
• Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
• Lotus Word Pro (lwp)
• MacWrite (mw)
• Microsoft Excel(xls)
• Microsoft PowerPoint (ppt)
• Microsoft Word(dok)
• Microsoft Works (wks, wps, wdb)
• Microsoft Write (wri)
• Format obogaćenog teksta (rtf)
• Shockwave Flash(swf)
• Tekst (odgovor, txt)

Operater veza: prikazuje sve stranice koje upućuju na navedenu stranicu.
Uvijek mora biti zanimljivo vidjeti koliko mjesta na internetu zna za vas. Pokušavamo:

Operater predmemorija: prikazuje Google predmemoriranu verziju stranice kako je izgledala kada google najnoviji jednom posjetio ovu stranicu. Uzimamo bilo koju stranicu koja se često mijenja i gledamo:

Operater titula: traži navedenu riječ u naslovu stranice. Operater allintitle: je proširenje - traži svih navedenih nekoliko riječi u naslovu stranice. usporedi:

naslov: let na mars
intitle:flight intitle:on intitle:mars
allintitle:let na mars

Operater inurl: uzrokuje da Google prikazuje sve stranice koje sadrže navedeni niz u URL-u. allinurl: traži sve riječi u URL-u. Na primjer:

allinurl:acid_stat_alerts.php

Ova je naredba posebno korisna za one koji nemaju SNORT - barem mogu vidjeti kako radi na stvarnom sustavu.

Google metode hakiranja

Dakle, otkrili smo da, koristeći kombinaciju gore navedenih operatora i ključnih riječi, svatko može prikupiti potrebne informacije i potražiti ranjivosti. Te se tehnike često nazivaju Google Hacking.

mapa stranice

Možete koristiti izjavu site: da biste vidjeli sve veze koje je Google pronašao na web mjestu. Obično se stranice koje su dinamički kreirane skriptama ne indeksiraju pomoću parametara, pa neke web-lokacije koriste ISAPI filtere tako da veze nisu u obliku /article.asp?num=10&dst=5, ali s kosim crtama /article/abc/num/10/dst/5. To je učinjeno kako bi se osiguralo da je stranica općenito indeksirana od strane tražilica.

Pokušajmo:

stranica: www.whitehouse.gov Whitehouse

Google smatra da svaka stranica na web mjestu sadrži riječ whitehouse. To je ono što koristimo za dobivanje svih stranica.
Postoji i pojednostavljena verzija:

web mjesto: whitehouse.gov

A najbolji dio je što drugovi s whitehouse.gov nisu ni znali da smo pogledali strukturu njihove stranice, pa čak i pogledali u keširane stranice koje je Google preuzeo za sebe. To se može koristiti za proučavanje strukture web-mjesta i pregledavanje sadržaja, a da se za sada ne primijeti.

Popis datoteka u direktorije

WEB poslužitelji mogu prikazivati ​​popise direktorija poslužitelja umjesto uobičajenih HTML stranice. To se obično radi kako bi se korisnici prisilili da odaberu i preuzmu određene datoteke. Međutim, u mnogim slučajevima administratori nemaju namjeru prikazati sadržaj imenika. To se događa zbog netočne konfiguracije poslužitelja ili nedostatka početnu stranicu u imeniku. Kao rezultat toga, haker ima priliku pronaći nešto zanimljivo u imeniku i koristiti ga za svoje potrebe. Da biste pronašli sve takve stranice, dovoljno je primijetiti da sve sadrže riječi: index of u svom naslovu. No budući da indeks riječi ne sadrži samo takve stranice, moramo precizirati upit i uzeti u obzir ključne riječi na samoj stranici, pa upiti poput:

intitle:index.nadređenog imenika
intitle:index.veličina imena

Budući da je većina popisa imenika namjerna, možda ćete prvi put imati poteškoća s pronalaženjem pogrešno postavljenih unosa. Ali barem ćete moći koristiti popise za određivanje verzije WEB poslužitelja, kao što je opisano u nastavku.

Dobivanje verzije WEB poslužitelja.

Poznavanje verzije WEB poslužitelja uvijek je od pomoći prije početka bilo kakvog hakerskog napada. Opet zahvaljujući Googleu moguće je dobiti ove informacije bez povezivanja na poslužitelj. Ako pažljivo pogledate popis imenika, možete vidjeti da se tamo prikazuje naziv WEB poslužitelja i njegova verzija.

Apache1.3.29 - ProXad poslužitelj na trf296.free.fr Port 80

Iskusni administrator može promijeniti ove podatke, ali, u pravilu, to je istina. Dakle, da biste dobili ove informacije, dovoljno je poslati zahtjev:

intitle:index.of server.at

Da bismo dobili informacije za određeni poslužitelj, pročišćavamo zahtjev:

intitle:index.of server.at site:ibm.com

Ili obrnuto, tražimo poslužitelje koji rade na određenoj verziji poslužitelja:

intitle:index.of Apache/2.0.40 Server at

Ovu tehniku ​​haker može koristiti da pronađe žrtvu. Ako, na primjer, ima exploit za određenu verziju WEB poslužitelja, onda ga može pronaći i isprobati postojeći exploit.

Verziju poslužitelja možete dobiti i tako da pogledate stranice koje su instalirane prema zadanim postavkama kada instalirate novu verziju WEB poslužitelja. Na primjer, da biste vidjeli testnu stranicu Apachea 1.2.6, samo upišite

intitle:Test.Page.for.Apache it.worked!

Štoviše, neke Operativni sustavi tijekom instalacije odmah instaliraju i pokreću WEB poslužitelj. Međutim, neki korisnici toga nisu ni svjesni. Naravno, ako vidite da netko nije obrisao zadanu stranicu, onda je logično pretpostaviti da računalo uopće nije bilo podvrgnuto nikakvoj konfiguraciji i da je vjerojatno ranjivo na napade.

Pokušajte potražiti IIS 5.0 stranice

allintitle:Dobro došli u Windows 2000 Internet Services

U slučaju IIS-a, možete odrediti ne samo verziju poslužitelja, već i Windows verzija i servisni paket.

Drugi način za određivanje verzije WEB poslužitelja je traženje priručnika (stranica pomoći) i primjera koji se prema zadanim postavkama mogu instalirati na web mjesto. Hakeri su pronašli dosta načina za korištenje ovih komponenti za dobivanje privilegiranog pristupa web mjestu. Zato morate ukloniti ove komponente na mjestu proizvodnje. Da ne spominjemo činjenicu da prisustvom ovih komponenti možete dobiti informacije o vrsti poslužitelja i njegovoj verziji. Na primjer, pronađimo priručnik za apache:

moduli inurl: manualnih apache direktiva

Korištenje Googlea kao CGI skenera.

CGI skener ili web skener je uslužni program za traženje ranjivih skripti i programa na poslužitelju žrtve. Ovi uslužni programi moraju znati što tražiti, za to imaju cijeli popis ranjivih datoteka, na primjer:

/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi

/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi

Svaku od ovih datoteka možemo pronaći s Google, koristeći dodatno uz naziv datoteke u nizu za pretraživanje riječi index of ili inurl: možemo pronaći stranice s ranjivim skriptama, na primjer:

allinurl:/random_banner/index.cgi

Uz dodatno znanje, haker bi mogao iskoristiti ranjivost skripte i upotrijebiti je da prisili skriptu da posluži bilo koju datoteku pohranjenu na poslužitelju. Na primjer datoteka lozinke.

Kako se zaštititi od hakiranja putem Googlea.

1. Nemojte prenositi važne podatke na WEB poslužitelj.

Čak i ako ste privremeno objavili podatke, možete ih zaboraviti ili će netko imati vremena pronaći i uzeti te podatke prije nego što ih izbrišete. Nemoj to raditi. Postoji mnogo drugih načina za prijenos podataka koji ih štite od krađe.

2. Provjerite svoju stranicu.

Koristite opisane metode za istraživanje vaše stranice. Povremeno provjeravajte svoje web-mjesto za nove metode koje se pojavljuju na stranici http://johnny.ihackstuff.com. Zapamtite da ako želite automatizirati svoje radnje, morate dobiti posebno dopuštenje od Googlea. Ako pažljivo pročitate http://www.google.com/terms_of_service.html, tada ćete vidjeti izraz: Ne smijete slati automatizirane upite bilo koje vrste Googleovom sustavu bez prethodnog izričitog dopuštenja Googlea.

3. Možda vam Google neće trebati za indeksiranje vaše stranice ili njezinog dijela.

Google vam omogućuje da uklonite poveznicu na svoju stranicu ili njezin dio iz baze podataka, kao i da uklonite stranice iz predmemorije. Osim toga, možete zabraniti pretraživanje slika na vašoj web-lokaciji, zabraniti prikaz kratkih fragmenata stranica u rezultatima pretraživanja. Sve mogućnosti za brisanje stranice opisane su na stranici http://www.google.com/remove.html. Da biste to učinili, morate potvrditi da ste stvarno vlasnik ove stranice ili umetnuti oznake na stranicu ili

4. Koristite robots.txt

Poznato je da tražilice gledaju u datoteku robots.txt u korijenu stranice i ne indeksiraju one dijelove koji su označeni riječju Zabraniti. Ovo možete koristiti da spriječite indeksiranje dijela web-mjesta. Na primjer, da biste izbjegli indeksiranje cijele stranice, stvorite datoteku robots.txt koja sadrži dva retka:

Korisnički agent: *
zabraniti: /

Što se još događa

Da vam se život ne bi činio kao med, na kraju ću reći da postoje stranice koje prate one ljude koji gore navedenim metodama traže rupe u skriptama i WEB serverima. Primjer takve stranice je

Dodatak.

Malo slatko. Pokušajte sami nešto od sljedećeg:

1. #mysql dump filetype:sql - traži dumpove baze podataka mySQL podatke
2. Sažetak izvješća o ranjivosti domaćina - pokazat će vam koje su ranjivosti drugi ljudi pronašli
3. phpMyAdmin radi na inurl:main.php - ovo će prisilno zatvoriti kontrolu preko phpmyadmin ploče
4. Nije za distribuciju povjerljivo
5. Pojedinosti zahtjeva kontrolne varijable poslužitelja stabla
6. Trčanje u dječjem načinu
7. Ovo izvješće generirao je WebLog
8. intitle:index.of cgiirc.config
9. filetype:conf inurl:firewall -intitle:cvs - možda nekome trebaju konfiguracijske datoteke vatrozida? :)
10. naslov:indeks.finansije.xls - hmm....
11. intitle:Indeks dbconvert.exe chatova - icq dnevnika razgovora
12. intext:Tobias Oetiker analiza prometa
13. intitle:Statistika korištenja za koju je generirao Webalizer
14. intitle: statistika napredne web statistike
15. intitle:index.of ws_ftp.ini - ws ftp konfiguracija
16. inurl:ipsec.secrets sadrži zajedničke tajne - tajni ključ - dobar nalaz
17. inurl:main.php Dobrodošli u phpMyAdmin
18. inurl:server-info Informacije o Apache poslužitelju
19. site:edu admin ocjene
20. ORA-00921: neočekivani kraj SQL naredbe - dohvati staze
21. intitle:index.of trillian.ini
22. naslov: Indeks pwd.db
23. naslov:indeks.ljudi.lst
24. intitle:index.of master.passwd
25.inurl:passlist.txt
26. intitle:Indeks .mysql_history
27. intitle:index of intext:globals.inc
28. naslov:indeks.administratora.pwd
29. intitle:Index.of etc shadow
30. intitle:index.of secring.pgp
31. inurl:config.php dbuname dbpass
32. inurl:izvođenje tip datoteke:ini

"Hakiranje s Googleom"

Centar za obuku "Informzaschita" http://www.itsecurity.ru - vodeći specijalizirani centar u području obrazovanja sigurnost informacija(Licenca Moskovskog odbora za obrazovanje br. 015470, državna akreditacija br. 004251). Jedini ovlašteni centar za obuku tvrtki sigurnost na internetu Systems i Clearswift u Rusiji i zemljama ZND-a. Microsoftov ovlašteni centar za obuku (Sigurnosna specijalizacija). Programi obuke koordinirani su s Državnom tehničkom komisijom Rusije, FSB (FAPSI). Potvrde o osposobljenosti i državni dokumenti o usavršavanju.

SoftKey je jedinstvena usluga za kupce, programere, trgovce i pridružene partnere. Osim toga, ovo je jedna od najboljih internetskih trgovina softvera u Rusiji, Ukrajini, Kazahstanu, koja kupcima nudi širok raspon, mnogo načina plaćanja, brzu (često trenutnu) obradu narudžbi, praćenje procesa ispunjenja narudžbe u osobnom dijelu, razne popuste iz trgovine i proizvođača ON.

Operatori pretraživanja ( Posebni simboli, koji dodaju na upit za pretraživanje) pomoći da se dobije ogroman iznos korisna informacija O stranici. Uz njihovu pomoć možete značajno suziti raspon pretraživanja i pronaći potrebne informacije. Uglavnom, operateri u različitim tražilice ah isto, ali postoje razlike. Stoga ćemo zasebno razmotriti operatere za Google i Yandex.

Google operateri

Razmotrimo prvo najjednostavnije operatore:

+ - operator plus se koristi za pronalaženje riječi u istoj rečenici, samo umetnite ovaj znak između riječi. Na primjer, postavljanjem upita poput "zime + gume + za + nissan", dobit ćete u rezultatima pretraživanja one stranice koje imaju ponude sa cijeli set sve riječi iz upita.

- - operator "minus" pomoći će isključiti neželjene riječi iz upita. Na primjer, ako podnesete zahtjev "Kum -online", tada će vam biti dodijeljene stranice s informacijama o filmu, recenzijom, recenzijom itd., ali izuzmite stranice s online gledanjem.

.. - pomoći će u traženju rezultata koji sadrže brojeve u navedenom rasponu.

@ i #- simboli za pretraživanje po oznakama i hashtagovima društvenih mreža.

ILI- operator "ili", uz njegovu pomoć možete pronaći stranice na kojima se pojavljuje barem jedna od nekoliko riječi.

« » - navodnici govore tražilici da morate pronaći stranice na kojima su unesene riječi navedenim redoslijedom - točno podudaranje.

Složeni operatori:

stranica: pomoći će vam da pronađete potrebne informacije na određenoj stranici.

predmemorija: koristan operator u slučaju da se sadržaj neke stranice promijenio ili blokirao. Prikazat će se verzija u predmemoriji. Primjer: cache:site

info: služi za prikaz svih informacija o adresi.

povezano: izvrstan operater za pronalaženje stranica sa sličnim sadržajem.

allintitle: prikazuju se stranice koje imaju riječi navedene u upitu u oznaci title

allinurl: izvrstan operater s kojim možete pronaći stranice koje su vam zaista potrebne. Prikazuje web stranice koje sadrže navedene riječi u adresi stranice. Nažalost, još uvijek postoji nekoliko stranica u ruskom segmentu interneta koje koriste ćirilicu, pa ćete morati koristiti ili transliteraciju, na primjer, allinurl:steklopakety, ili latinicu.

inurl: radi isto kao i gornji operator, ali odabir se događa samo za jednu riječ.

allintext: Stranice se odabiru na temelju sadržaja stranice. Može biti korisno ako tražite neke informacije, ali jednostavno ste zaboravili adresu stranice.

tekst: isto za samo jednu riječ.

allinanchor: operator prikazuje stranice koje u opisu imaju ključne riječi. Na primjer: allinanchor: ručni sat.

sidro: isto za samo jednu ključnu riječ.

Operateri Yandex

Jednostavni operateri:

! - stavlja se ispred ključne riječi i u rezultatima pretraživanja se prikazuju stranice na kojima je točno ista riječ (bez promjene oblika riječi).

+ - baš kao i Google, prikazuju se stranice sa svim riječima između plusa.

« » - pokazuje točno podudaranje izraza.

() - koristi se za grupiranje riječi u složenim upitima.

& - potreban je za traženje stranica na kojima se riječi kombinirane ovim operatorom nalaze u jednoj rečenici.

* - služi za traženje riječi koje nedostaju u navodnicima. Na primjer: Rusija * duša. Jedan operator * zamjenjuje jednu riječ.

Sljedeći operatori su već ugrađeni u naprednu pretragu Yandexa, tako da ih nema smisla pamtiti, ali ipak ćemo objasniti što svaki od njih radi.

titula: pretražujte po naslovima stranica

url: pretraživati ​​stranice koje se nalaze na zadanoj adresi, na primjer url:site/blog/*

domaćin: pretražuje cijeli host.

stranica: ovdje se pretraga već obavlja na svim poddomenama i stranicama stranice.

inurl: pretraživati ​​stranice samo ove domene koristeći ključne riječi. Na primjer, inurl:site blog

mimika: tražiti dokumente određene vrste, na primjer mime:xls.

mačka: pretražite web-lokacije koje su prisutne u Yandex.Catalogu, kao i regiju i kategoriju koja odgovara navedenoj. Na primjer: car cat:category_ID

Evo kako ti operateri izgledaju u samoj tražilici:

Dakle, pravilnim odabirom i korištenjem operatora tražilica Google i Yandex, možete samostalno sastaviti semantička jezgra za stranicu, pronađite nedostatke i pogreške u radu, analizirajte konkurente, a također saznajte gdje i što vanjske poveznice idite na svoju stranicu.

Ako u svom radu koristite neke druge operatore koje nismo uzeli u obzir, podijelite ih u komentarima. Hajde da raspravimo =)

I tako, sada ću govoriti o tome kako nešto hakirati bez posebnog znanja o bilo čemu. Odmah kažem, malo je koristi od ovoga, ali ipak.
Prvo morate pronaći same stranice. Da biste to učinili, idite na google.com i potražite dorks

Inurl:pageid= inurl:games.php?id= inurl:page.php?file= inurl:newsDetail.php?id= inurl:gallery.php?id= inurl:article.php?id= inurl:show.php? id= inurl:staff_id= inurl:newsitem.php?num= inurl:readnews.php?id= inurl:top10.php?cat= inurl:historialeer.php?num= inurl:reagir.php?num= inurl:Stray- Questions-View.php?num= inurl:forum_bds.php?num= inurl:game.php?id= inurl:view_product.php?id= inurl:newsone.php?id= inurl:sw_comment.php?id= inurl: news.php?id= inurl:avd_start.php?avd= inurl:event.php?id= inurl:product-item.php?id= inurl:sql.php?id= inurl:news_view.php?id= inurl: select_biblio.php?id= inurl:humor.php?id= inurl:aboutbook.php?id= inurl:ogl_inet.php?ogl_id= inurl:fiche_spectacle.php?id= inurl:communique_detail.php?id= inurl:sem. php3?id= inurl:kategorie.php4?id= inurl:news.php?id= inurl:index.php?id= inurl:faq2.php?id= inurl:show_an.php?id= inurl:preview.php? id= inurl:loadpsb.php?id= inurl:opinions.php?id= inurl:spr.php?id= inurl:pages.php?id= inurl:announce.php?id= inurl:clanek.php4?id= i nurl:participant.php?id= inurl:download.php?id= inurl:main.php?id= inurl:review.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl: prod_detail.php?id= inurl:viewphoto.php?id= inurl:article.php?id= inurl:person.php?id= inurl:productinfo.php?id= inurl:showimg.php?id= inurl:view. php?id= inurl:website.php?id= inurl:hosting_info.php?id= inurl:gallery.php?id= inurl:rub.php?idr= inurl:view_faq.php?id= inurl:artikelinfo.php? id= inurl:detail.php?ID= inurl:index.php?= inurl:profile_view.php?id= inurl:category.php?id= inurl:publications.php?id= inurl:fellows.php?id= inurl :downloads_info.php?id= inurl:prod_info.php?id= inurl:shop.php?do=part&id= inurl:productinfo.php?id= inurl:collectionitem.php?id= inurl:band_info.php?id= inurl :product.php?id= inurl:releases.php?id= inurl:ray.php?id= inurl:produit.php?id= inurl:pop.php?id= inurl:shopping.php?id= inurl:productdetail .php?id= inurl:post.php?id= inurl:viewshowdetail.php?id= inurl:clubpage.php?id= inurl:memberInfo.php?id= inurl:section.php?id= u url:theme.php?id= inurl:page.php?id= inurl:shredder-categories.php?id= inurl:tradeCategory.php?id= inurl:product_ranges_view.php?ID= inurl:shop_category.php?id= inurl:transcript.php?id= inurl:channel_id= inurl:item_id= inurl:newsid= inurl:trainers.php?id= inurl:news-full.php?id= inurl:news_display.php?getid= inurl:index2. php?option= inurl:readnews.php?id= inurl:top10.php?cat= inurl:newsone.php?id= inurl:event.php?id= inurl:product-item.php?id= inurl:sql. php?id= inurl:aboutbook.php?id= inurl:preview.php?id= inurl:loadpsb.php?id= inurl:pages.php?id= inurl:material.php?id= inurl:clanek.php4? id= inurl:announce.php?id= inurl:chappies.php?id= inurl:read.php?id= inurl:viewapp.php?id= inurl:viewphoto.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:review.php?id= inurl:iniziativa.php?in= inurl:curriculum.php?id= inurl:labels.php?id= inurl:story.php?id= inurl: look.php? ID= inurl:newsone.php?id= inurl:aboutbook.php?id= inurl:material.php?id= inurl:opinions.php?id= inurl:announce.php?id= inurl:rub.php?idr= inurl:galeri_info.php?l= inurl:tekst.php?idt= inurl:newscat.php?id= inurl:newsticker_info.php?idn= inurl:rubrika.php?idr= inurl:rubp.php?idr= inurl: offer.php?idf= inurl:art.php?idm= inurl:title.php?id= inurl:".php?id=1" inurl:".php?cat=1" inurl:".php?catid= 1" inurl:".php?num=1" inurl:".php?bid=1" inurl:".php?pid=1" inurl:".php?nid=1"

evo malog isječka. Možete koristiti svoje. I tako, pronašli smo stranicu. Na primjer http://www.vestitambov.ru/
Zatim preuzmite ovaj program

**Skriveni sadržaj: da biste vidjeli ovaj skriveni sadržaj, vaš broj postova mora biti 3 ili veći.**

Kliknite OK. Zatim ubacujemo mjesto žrtve.
Pritisnemo start. Dalje, čekamo rezultate.
I tako, program je pronašao SQL ranjivost.

Zatim preuzmite Havij, http://www.vestitambov.ru:80/index.php?module=group_programs&id_gp= tamo zalijepite rezultirajuću vezu. Neću objašnjavati kako koristiti Havij i gdje ga preuzeti, nije ga teško pronaći. Svi. Dobili ste podatke koji su vam potrebni - administratorsku lozinku, a onda je na vašoj mašti.

p.s. Ovo je moj prvi pokušaj da nešto napišem. Žao mi je ako nije u redu