网络踩点技术手段.ppt

网络踩点技术手段 * ? Web信息搜索与挖掘 ―Google Hacking‖ ? 对目标组织和个人的大量公开或意外泄漏的Web信 息进行挖掘 DNS与IP查询 ? 公开的一些因特网基础信息服务 ? 目标组织域名、IP以及地理位置之间的映射关系， 以及注册的详细信息 ? 网络拓扑侦察 ? 网络的网络拓扑结构和可能存在的网络访问路径 2011年6月28日 22 网络搜索 ? 公开渠道信息收集 ? 目标Web网页、地理位置、相关组织 ? 组织结构和人员、个人资料、电话、电子邮件 ? 网络配置、安全防护机制的策略和技术细节 Google Hacking Google Hacking: 通过网络搜索引擎 查找特定安全漏洞或私密信息的方法 allinurl:tsweb/default.htm: 查找远程桌面Web连接 Johnny Long: Google Hacking Database Google Hacking软件: Athena, Wikto, SiteDigger Google Hacking示例 2011年6月28日 网络攻防技术与实践课程 23 Google search: inurl: eStore/index.cgi? 路径遍历漏洞：URL../../../../etc/passwd 如何用好Google-基本搜索技巧 ? 基本搜索与挖掘技巧 ? 保持简单。简单明了的关键词更利于搜索。 ? 使用最可能出现在要查找的网页上的字词。 ? 尽量简明扼要地描述要查找的内容。 ? 选择独特性的描述字词。 ? 善于利用搜索词智能提示功能。 源代码中泄漏数据库连接地址、口令与密码MD5值的例子 2011年6月28日 * 如何用好Google-高级搜索 2011年6月28日 网络攻防技术与实践课程 Copyright (c) 2008－2009 诸葛建伟 * Google信息搜索实例-找出特定域名下尽可能多网站 allinurl:-php -html -htm -asp -aspx -ppt - pdf -swf -doc -xls site:dhu.edu.cn 2011年6月28日 * Google信息搜索实例-找出开放远程桌面Web连接的服务器 ? 远程桌面Web连接–远程桌面的“Web版本” ? 可通过口令破解攻破设置了弱口令的服务器 2011年6月28日 * Google信息搜索实例-尝试找出学生身份证号和信用卡信息 “filetype:xls 身份证号 site:edu.cn” “filetype:xls 信用卡 site:edu.cn” 2011年6月28日 *