利用黑客思维使用FTP文件搜索引擎

目录浏览漏洞的产生是由于服务器没有配置而导致的，利用谷歌能搜索出这样的网站，然后攻击。用过这项技术的朋友应该都会发现，搜索到的很多网站权限更高的也就是把数据库下载下来，而对于服务器端的脚本文件是无法下载的，而且打开以后是空白，源代码，也无法看到，当然网站的体系结构也可以探测到，这对于我们得到webslishell来说是非常的容易，但是离更高权限还是有一定的距离。

其实我们可以利用FTP搜索引擎就可以找到大量提供FTP功能的网站，如果服务器不在线，就会提示离线，我如果需要用户名及密码，就会提示需要账号，快照一般来说是可以直接进入的，不过也有可能由于各种原因会登陆不了。

随便打开一个IP地址，成功的进入了对方的服务器了，而且这样说出来的服务器要比使用目录浏览搜索出来的网站大很多，目录浏览搜索得来的并没有进入对方的服务器，而利用FTP搜索是直接进入服务器，上面的所有文件是可以下载的。

搜索这样的服务器也需要关键字，而关键字是需要自己构造的。我们都知道一般服务器时会安装第三方软件，所以可以搜索第三方软件来查找特定的服务器。

我们来搜索数据库连接文件。

我们来搜索数据库连接文件，看看效果，一样可以得到非常多的服务器。

我们可以搜索Pcanywhere，在得到了安装Pcanywhere五，软件的服务器之后，就可以访问硬盘内的cif文件，把它下载下来，就得到了管理员的密码，我还可以搜索Serv-U，然后通过修改它的ini文件，然后加上具有执行权限的用户，之后FTP连接上提升权限就可以了。

利用FTP文件搜索引擎得到的是服务器，我用谷歌搜索出来的是网站，所以FTP搜索权限要大得多，在我们进入服务器之后，不仅可以查看运行在该服务器上的网站的任何东西，而且还可以得到其他的一些敏感信息，更为严重的是，那些文件都可以下载，这样就可以不用得到webslishell了，而是直接进入服务器把第三方敏感文件下载下来，然后连接该服务器就可以了，当然更高权限也就可唾手可得了。

黑客技术小贴士：想不想在系统时间的位置显示自己的名字或者个性的话呢？如果你喜欢这样的话，可以在控制版面里找到区域和语言选项，单机去学校中的自定义，切换到时间选项卡中，把时间格式改为tt h:mm:ss，然后把上午和下午都改为自己喜欢的文字，并且确定就可以了。