挖洞入门_谷歌语法

回想这些年，总感觉忘得总比学得快，思前想后，打算以后通过写播客的形式来记录自己的学习过程。博主是个安全行业刚入门的小白，如有错误也请大佬不吝指教。

0x01:维基百科

0x02:常用语法

• 字符

*			- 通配符
-			- 排除项
""			- 整体词

• 命令

site:			- 指定站点
inurl:			- 匹配URL
intext:			- 匹配内容
intitle:		- 匹配标题
filetype:		- 文件类型

0x03:组合举例

• PHP站点

inurl:/login.php	- PHP登录站点(弱密码、逻辑缺陷、SQL注入)
inurl:/php?id=		- PHP疑似注入点(SQL注入)

• ASP站点

inurl:/login.asp	- ASP登录站点(弱密码、逻辑缺陷、SQL注入)
inurl:/asp?id=		- ASP疑似注入点(SQL注入)

• JSP站点

inurl:/login.jsp	- JSP登录站点(弱密码、逻辑缺陷、SQL注入)
inurl:/jsp?id=		- JSP疑似注入点(SQL注入)

• 个人总结

site:gov.cn					- 限定国内政府机构(CNVD)
site:edu.cn					- 限定国内教育机构(教育SRC)
intext:ICP备					- 限定国内已备案站点
intitle:后台登录/陆				- 后台登录界面(弱密码、逻辑缺陷、SQL注入)
inurl:/phpinfo.php				- phpinfo(敏感信息泄露)
inurl:/phpmyadmin/index.php			- phpmyadmin后台(敏感信息泄露)
inurl:/console/login/loginform.jsp		- WebLogic后台(弱密码)

inurl:/guestimage.html				- 一些公开的网络摄像头

site:edu.cn filetype:xls			- 挖教育SRC时收集资源

依据网络安全法，本文旨在分享个人学习经验，内容禁止用于违法犯罪行为！