一个 Chrome 浏览器扩展,旨在简化安全研究和渗透测试人员使用搜索引擎Hacking语法的过程。它会在包含 site: 查询的 Google 和百度搜索结果页面自动注入一个固定在右侧的侧边栏,提供一系列预定义和可自定义的 Hacking 语法按钮。通过灵活的语法配置(可独立开关内置及自定义规则),您可以轻松打造专属的 Hacking 工具集,一键即可针对目标域名执行高级搜索。
- 智能侧边栏注入:仅在包含
site:查询的 Google 和百度搜索结果页面自动显示 Hacking 语法侧边栏,并始终固定在页面右侧。 - 多搜索引擎支持:支持 Google 和百度搜索引擎,根据语法自身配置决定在哪个搜索引擎上显示。
- 提取搜索结果URL:提供"提取URL"功能,一键提取当前搜索结果中的所有URL,并支持单个复制或批量复制,方便对搜索结果进行进一步分析。
- URL过滤机制:支持配置URL黑名单,自动过滤搜索结果中不需要的域名,支持精确匹配、子域名匹配和正则表达式匹配。
- 增强稳定性:改进的扩展上下文管理机制,有效解决百度动态页面上的闪烁问题,提供更流畅的用户体验。
- 兼容协议:能够正确处理
site:指令后带有http://或https://协议的域名 (例如site:https://example.com)。 - 实时更新:在 Popup 或选项页中更改设置(如启用/禁用侧边栏、启用/禁用语法)会实时反映在搜索页面上,无需手动刷新。
- 一键 Hacking:提供一系列预定义的、基于常见 Hacking 技术的语法按钮。
- 高度灵活的语法管理:
- 不仅可以添加、编辑、删除自己的 Hacking 语法。
- 更能精细控制:独立启用或禁用每一条内置语法和自定义语法,打造个性化的 Hacking 工具集。
- 可以选择语法支持的搜索引擎,灵活控制语法在 Google 和百度上的显示。
- 动态域名替换:自动将语法中的
{target_domain}占位符替换为当前搜索查询中的site:指定的域名。 - 风险等级提示:语法按钮根据潜在风险(高、中、低、信息)进行颜色编码。
- 快速开关:通过浏览器工具栏的弹出窗口(Popup)快速启用或禁用侧边栏的显示。
- 灵活设置:
- 可在选项页面配置点击语法按钮后是在当前标签页还是新标签页打开搜索结果。
- 可自定义URL点击行为,选择点击URL时是复制还是打开。
- 现代化界面:采用 Material Design 风格,提供简洁直观的用户体验。
虽然本扩展同时支持 Google 和百度搜索引擎,但请注意两者的搜索语法存在一些差异:
-
语法兼容性:
- 某些高级搜索语法在 Google 上有效,但在百度上可能无效,反之亦然
- 例如,
intext:、intitle:等指令在两个搜索引擎上的行为可能不完全一致
-
搜索结果差异:
- 即使使用相同的语法,两个搜索引擎返回的结果也可能有显著差异
- 这是由于各自的索引数据库和搜索算法不同导致的
-
语法组合限制:
- 百度对复杂语法组合的支持可能不如 Google 完善
- 在百度上使用多个高级指令组合时可能会忽略部分指令
建议在使用本扩展时,根据目标和需求选择合适的搜索引擎,并针对不同搜索引擎调整语法。如果某个语法在特定搜索引擎上不起作用,可以尝试简化语法或使用该搜索引擎特有的替代语法。
本扩展的内置语法已尽可能考虑两个搜索引擎的兼容性,但自定义语法时请注意这些差异。
目前,你可以通过以下方式从源代码加载此扩展:
- 下载代码:
- 克隆此仓库:
git clone https://github.com/Pa55w0rd/google-hacking-assistant.git - 或者,下载仓库的 ZIP 文件并解压缩。
- 克隆此仓库:
- 打开 Chrome 扩展页面:在浏览器地址栏输入
chrome://extensions/并回车。 - 启用开发者模式:在页面右上角找到并打开"开发者模式"开关。
- 加载扩展:点击左上角的"加载已解压的扩展程序"按钮,然后选择你刚才下载并解压(或克隆)的项目文件夹。
- 安装完成!你应该能在浏览器工具栏看到扩展图标。
- 进行包含
site:的搜索:在 Google 或百度搜索框中输入包含site:指令的查询,例如site:example.com test,然后按回车进行搜索。 - 侧边栏出现:在搜索结果页面加载完成后,如果扩展是启用的状态(默认启用),你应该能在页面右侧看到固定位置的"Search Hacking 助手"侧边栏。
- 注意:如果搜索查询中没有
site:指令,侧边栏不会显示。
- 注意:如果搜索查询中没有
- 点击语法按钮:侧边栏会显示所有已启用且支持当前搜索引擎的内置语法和自定义语法按钮。点击你感兴趣的按钮。
- 执行 Hacking 搜索:扩展会自动将该按钮对应的 Hacking 语法中的
{target_domain}替换为example.com,然后根据你在选项中设置的"链接打开方式",在当前或新标签页执行这个新的搜索。 - 提取URL:点击侧边栏顶部的"提取URL"按钮,扩展会从当前搜索结果中提取所有URL,应用URL黑名单过滤,并显示在侧边栏的URL面板中。
- 管理扩展:
- 点击浏览器工具栏上的扩展图标,可以快速切换"启用侧边栏"的状态,或点击"打开设置"进入选项页面。
- 在选项页面,你可以管理自定义语法(增删改查、启用/禁用、选择支持的搜索引擎)、启用/禁用内置语法、更改链接打开方式、配置URL黑名单。充分利用语法的开关功能,定制您需要的侧边栏。
- 所有设置更改(启用/禁用侧边栏、语法开关)都会实时应用到已打开的搜索页面,无需刷新。
1. 弹出窗口
点击浏览器工具栏图标弹出的窗口,可快速开关侧边栏和进入设置。
2. 选项页面 - 基本设置
选项页面 - 基本设置,可配置侧边栏的开关、URL提取黑名单、导入导出配置、重置。
3. 选项页面 - 语法管理
选项页面 - 语法管理,可管理内置和自定义的 Hacking 语法,选择支持的搜索引擎。
4. Google 搜索侧边栏
扩展侧边栏出现在 Google 搜索结果页面右侧,提供一键 Hacking 功能。
5. 百度搜索侧边栏
扩展侧边栏在百度搜索结果页面,提供相同的 Hacking 功能。
6. URL 提取功能
从搜索结果中一键提取所有 URL,支持单个或批量复制。
这是发挥 Search Hacking 助手强大潜力的关键!除了使用内置语法,您还可以根据自己的特定需求,创建和管理个性化的 Hacking 语法。
在添加或编辑自定义语法时,你可以使用 {target_domain} 这个特殊的占位符。当你在搜索结果页面(包含 site:example.com)点击该语法按钮时,扩展会自动将语法中的 {target_domain} 替换成 example.com。
示例:
- 你保存了一个自定义语法:
site:{target_domain} inurl:admin - 你在 Google 或百度搜索
site:example.com - 在出现的侧边栏中点击了上述语法按钮
- 扩展将执行新的搜索:
site:example.com inurl:admin
这使得您可以创建一次语法,就能方便地对任何通过 site: 指令指定的目标网站执行该搜索。
添加或编辑语法时,你可以勾选语法支持的搜索引擎(Google 和/或百度)。语法只会在你指定的搜索引擎结果页面的侧边栏中显示。这使你能够为不同的搜索引擎定制不同的语法集。
在v2.0版本中,你可以配置URL黑名单来过滤搜索结果中的URL。黑名单支持以下几种匹配模式:
- 普通域名匹配:直接输入域名,如
example.com,将匹配该域名及其所有子域名 - 通配符子域名匹配:使用格式
*.example.com,将只匹配example.com的子域名,但不匹配example.com本身 - 正则表达式匹配:使用格式
/pattern/,将使用正则表达式匹配URL,提供最灵活的过滤方式
URL黑名单对"提取URL"功能特别有用,可以帮助你过滤掉不需要的结果,专注于有价值的目标URL。
对于 Hacking 语法本身,如果您还不熟悉或者想寻找更多有趣的用法,强烈推荐查阅 Exploit DB 上的 Google Hacking Database (GHDB)。这是一个巨大的宝库,包含了大量用于发现漏洞和敏感信息的搜索语法,是学习和获取自定义语法灵感的好地方。
- 核心重构:完全重构了底层代码,提高了稳定性和性能。
- URL黑名单:新增URL黑名单功能,支持域名、通配符子域名和正则表达式三种匹配模式,有效过滤搜索结果中的URL。
- 稳定性增强:
- 优化了扩展上下文管理机制,解决了百度搜索页面上的侧边栏闪烁问题
- 改进了DOM监听策略,减少了不必要的侧边栏重建
- 增强了错误恢复能力,在扩展上下文失效时提供更好的用户体验
- 性能优化:
- 更精确的DOM观察器配置,减少CPU和内存使用
- 优化的防抖处理,避免过于频繁的操作
- 增强的状态管理,避免重复注入和闪烁问题
- UI优化:
- 改进了URL提取面板的用户界面,提供更清晰的提取状态反馈
- 优化了错误提示的展示方式,更友好地显示可能的问题原因
- 功能增强:添加"提取URL"功能,可以一键从搜索结果中提取所有URL,并支持单个复制或批量复制,方便安全研究人员对搜索结果进行进一步分析。
- 界面优化:为提取URL功能添加视觉反馈效果,使用户能直观了解操作状态(提取中、提取成功)。
- 名称更新:随着功能的不断丰富,扩展名称从"Google Hacking 助手"更新为"Search Hacking 助手",以更好地反映对多搜索引擎的支持。
- 兼容性优化:优化了在不同搜索引擎结果页面的显示效果,确保一致的用户体验。
- 多搜索引擎支持:添加百度搜索支持,现在可以在百度搜索结果页面使用 Hacking 语法。
- 界面优化:添加语法支持搜索引擎选项,可以选择语法在 Google 和/或百度上显示。
- 界面优化:在"语法管理"页面添加了 Google Hacking Database (GHDB) 的推荐资源部分,为不熟悉 Google Hacking 的用户提供学习参考。
- 功能增强:兼容 Google 搜索查询中
site:指令后带有http://或https://协议的域名(如 site:https://example.com)。
本项目采用 MIT 许可证。