渗透测试元数据搜集之Metagoofil
1. 简介
Metagoofil是由Christian Martorella编写的功能强大的元数据手机工具。它可以自动在搜素引擎中检索和分析文件,还具有提供Mac地址,用户名列表等其他功能。更多详细信息,可参考security-edge官方网站:http://www.edge-security.com/metagoofil.php
2. 认识Metagoofil
Metagoofil是一个python脚本,已经集成在Kali Linux中,我们可以启动一个终端,直接输入以下命令:
# metagoogil
图中列出了相关使用参数和两个具体例子。
| 参数 | 描述 |
|---|---|
| -d | 所搜寻的域名。 |
| -t | 要下载的文档类型(pdf,doc,docx,ppt,xls,ods等) |
| -l | 搜索结果限制(默认200个) |
| -h | 使用目录中的文档处理(”yes”表示本地分析) |
| -n | 文件下载限制 |
| -o | 工作目录 |
| -d | 输出文件 |
3. 使用Metagoofil
在渗透测试工作中,我们都会希望通过这个工具找出包含目标各种相关信息的文档。接下来,用一下命令测试一下效果:
# metagoofil -d wenku.baidu.com -t doc,xls -l 200 -n 50 -o metafiles -f metaResult.html
等结果,等了好大会出来了个这么个结果:
卡住了,最后超时退出,没有搜索到结果,换了两个域名也是同样的结果。没办法,打开Metagoofil.py文件看一下源码:
看到这,我也是醉了!!!用的是google搜素引擎,偏偏google被屏蔽了,要想继续下去,看样得设置下系统代理,前提是得有一个可以访问google的代理服务器。
先到这吧,只能留到以后了!不过原理应该和google hacking类似,搜索引擎中查找指定类型的文档。
site: example.com filetype:doc
郑重声明:本站内容如果来自互联网及其他传播媒体,其版权均属原媒体及文章作者所有。转载目的在于传递更多信息及用于网络分享,并不代表本站赞同其观点和对其真实性负责,也不构成任何其他建议。
