渗透测试元数据搜集之Metagoofil

1. 简介

  Metagoofil是由Christian Martorella编写的功能强大的元数据手机工具。它可以自动在搜素引擎中检索和分析文件,还具有提供Mac地址,用户名列表等其他功能。更多详细信息,可参考security-edge官方网站:http://www.edge-security.com/metagoofil.php

2. 认识Metagoofil

  Metagoofil是一个python脚本,已经集成在Kali Linux中,我们可以启动一个终端,直接输入以下命令:

  # metagoogil

  

  图中列出了相关使用参数和两个具体例子。

参数 描述
-d 所搜寻的域名。
-t 要下载的文档类型(pdf,doc,docx,ppt,xls,ods等)
-l 搜索结果限制(默认200个)
-h 使用目录中的文档处理(”yes”表示本地分析)
-n 文件下载限制
-o 工作目录
-d 输出文件

3. 使用Metagoofil

  在渗透测试工作中,我们都会希望通过这个工具找出包含目标各种相关信息的文档。接下来,用一下命令测试一下效果:

  

  # metagoofil -d wenku.baidu.com -t doc,xls -l 200 -n 50 -o metafiles -f metaResult.html

  

  等结果,等了好大会出来了个这么个结果:

  

  卡住了,最后超时退出,没有搜索到结果,换了两个域名也是同样的结果。没办法,打开Metagoofil.py文件看一下源码:

 

  看到这,我也是醉了!!!用的是google搜素引擎,偏偏google被屏蔽了,要想继续下去,看样得设置下系统代理,前提是得有一个可以访问google的代理服务器。

  先到这吧,只能留到以后了!不过原理应该和google hacking类似,搜索引擎中查找指定类型的文档。

  site: example.com filetype:doc

时间: 2024-11-02 19:18:21

渗透测试元数据搜集之Metagoofil的相关文章

60字节 - 无文件渗透测试实验

0x00 缘由 前几天看到文章<全球上百家银行和金融机构感染了一种"无文件"恶意程序,几乎无法检测>,希望自己能够亲手实验一下,以最大程度还原这种"无文件"攻击方式. 0x01 拓扑设计 192.168.1.0/24: 模拟公网环境 172.21.132.0/24: 模拟企业内网环境 192.168.1.108: 黑客 Kali 攻击机 192.168.1.212: 黑客 Windows 攻击机 边界 Web 服务器双网卡(公网的:192.168.1.1

渗透测试、取证、安全和黑客的热门链接

你还在找一套工具,可以完成您的日常活动,或正在你只寻找新的工具,您可以尝试着玩?不需要担心,因为今天是你的幸运日 !今天,我将提到的链接. 资源和编辑的各种工具,可用于渗透测试. 计算机取证.安全.和黑客技术. ToolsWatch.org ToolsWatch.org 是由 NJ OUCHN (@toolswatch) 和 Maxi Solder(@maxisoler) 维护的.这是一个很酷的网站,您可以找到最新版本的审计. 渗透测试工具. web 应用安全顾问. 系统管理员. 网络管理员.

KALI LINUX WEB 渗透测试视频教程—第十九课-METASPLOIT基础

原文链接:Kali Linux Web渗透测试视频教程—第十九课-metasploit基础 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十九课-metasploit基础...................... 1 metasploit..................................................................................................... 1 基本体系结构..........

Metasploit渗透测试魔鬼训练营

首本中文原创Metasploit渗透测试著作,国内信息安全领域布道者和资深Metasploit渗透测试专家领衔撰写,极具权威性.以实践为导向,既详细讲解了Metasploit渗透测试的技术.流程.方法和技巧,又深刻阐释了渗透测试平台背后蕴含的思想. 本书是Metasploit渗透测试领域难得的经典佳作,由国内信息安全领域的资深Metasploit渗透测试专家领衔撰写.内容系统.广泛.有深度,不仅详细讲解了Metasploit渗透测试的技术.流程.方法和技巧,而且深刻揭示了渗透测试平台背后蕴含的思

Kali Linux Web 渗透测试秘籍 第二章 侦查

第二章 侦查 作者:Gilberto Najera-Gutierrez 译者:飞龙 协议:CC BY-NC-SA 4.0 简介 在每个渗透测试中,无论对于网络还是 Web 应用,都有一套流程.其中需要完成一些步骤,来增加我们发现和利用每个影响我们目标的可能的漏洞的机会.例如: 侦查 枚举 利用 维持访问 清理踪迹 在 Web测试场景中,侦查是一个层面,其中测试者必须识别网络.防火墙和入侵检测系统中所有可能组件.它们也会收集关于公司.网络和雇员的最大信息.在我们的例子中,对于 Web 应用渗透测试

渗透测试流程概述

0x01????信息搜集 人力资源情报 如企业普通员工信息,管理员信息,邮箱,姓名,常用用户名和密码等 企业位置信息搜集 可通过位置确定真实IP,可用于WIFI渗透 IP及域名信息搜集 确定渗透测试范围 第三方资源搜集 云服务,ISP,网站宿主信息 服务器开放端口信息 端口提供的服务,及版本信息 服务器/员工个人电脑操作系统信息 服务器提供的Web服务信息 Web服务使用的CMS和版本信息 开发使用的语言,语言版本 网站路径信息 是否有信息泄露 防御机制的识别 渗透测试目标曾曝光的漏洞信息 Gi

Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan

Kail Linux渗透测试教程之ARP侦查Netdiscover端口扫描Zenmap与黑暗搜索引擎Shodan ARP侦查工具——Netdiscover Netdiscover是一个主动/被动的ARP侦查工具.该工具在不使用DHCP的无线网络上非常有用.使用Netdiscover工具可以在网络上扫描IP地址,检查在线主机或搜索为它们发送的ARP请求.下面将介绍Netdiscover工具的使用方法. 首先查看下Netdiscover工具的帮助信息,执行命令如下所示: [email protect

Kali Linux Web 渗透测试视频教程—第十课 w3af

Kali Linux Web 渗透测试视频教程—第十课 w3af 文/玄魂 目录 Kali Linux Web 渗透测试视频教程—第十课 w3af............................................ 1 w3af............................................................................................................... 1 程序启动........

Metasploit 渗透测试魔鬼训练营读书笔记(连续更新一)

1.1 什么是渗透测试 1.1.1 渗透测试的起源与定义 如果大家对军事感兴趣,会知道各国军队每年都会组织一些军事演习来锻炼军队的攻防战术与作战能力.在信息科技的发源地--美国的军事演习中,将美军称为"蓝军",将假想敌称为"红军",而这种军事演习的方式也在20世纪90年代时,由美国军方与国家安全局引入到对信息网络与信息安全基础设施的实际攻防测试过程中.由一群受过职业训练的安全专家作为"红队"(Red Team),对接受测试的防御方"蓝队