23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 1/6

Entendendo o Google Hacking na Pratica eOtimizando suas Buscas com DorksPosted on 24 de agosto de 2016 by Ramos de Souza Janones in Linux, Notícias, Segurança, SEO,Web | Edit

Compartilhe

O Google Hacking é uma técnica utilizada para otimizar as buscas do Google usandoseus recursos afim de cavar mais profundamente em termos de indexação ou atémesmo levantar informações sigilosas sobre empresas e pessoas.  Além disso, é umótima ferramenta para encontrar coisas mais especificas dentro de sites e URL’s comopdfs, documentos e etc. 

Esses recursos podem muito bem ser aproveitados durante um teste de invasão, e atéhoje é uma das maiores ferramentas para identificação de vulnerabilidades em massa.Existem muitas ferramentas que fazem esse tipo de levantamento buscando falhas deSQL Injection, XSS, senhas fracas, diretórios abertos e etc, e o por mais complicadoque pareça na teoria, na prática não vai nada além de uma pesquisa no Google comalguns  termos adicionais. Podemos inclusive fazer uso do cache do Google para teracesso a versões mais antigas e indisponíveis dos sites em determinados casos.

Para essas pesquisas você usa termos específicos que faz os  Google ser mais direto eespecífico na busca, e combinando esses termos você constrói algo chamado Dork.

Ramos De Souza Janones

23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 2/6

Vamos abordar alguns exemplos de comandos que podemos adicionar em nossa buscapara filtrar melhor os resultados: 

Comando site

Powered by Inline Related Posts

O comando site realiza buscas dentro de sites especificos apenas, comum paradetectar configurações e vulnerabilidades em sites específicos, evitando que outrosdomínios sujem sua busca. Também uma ótima ferramenta para encontrar aquelepost perdido dentro de um site que você esqueceu de adicionar aos favoritos.

site:nanoshots.com.br uniscan

LEIA TAMBÉM:  Microsoft mostra integração entretablets e o Xbox 360

23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 3/6

Comando intile

O Comando intitle quando utilizando no meio de uma Dork, faz a busca nos títulos daspaginas com os termos que você definir. É muito utilizado para realizar buscas atrásde páginas administrativas, por páginas de login, restritas e etc.

Ex: intitle:”VNC viewer for Java”

Comando inurlEste comando faz buscas dentro da URL com os termos destacados.

inurl: /admin

23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 4/6

Comando filetypeEsse comando funciona de auxiliar a outros termos de pesquisa e procura em sites

Powered by Inline Related Posts

inurl: /admin filetype: php

Comando intext

O comando intext também é um axuliar que faz com que o buscador procure dentrode arquivos PDF, HTML e TXT por termos especificados. ]

inurl: security filetype: pdf +intext:Linux

Construindo sua Dork

LEIA TAMBÉM:  Treinamento online em Técnicas deInvasão

23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 5/6

Construindo sua Dork

Combianando alguns desses exemplos mais conhecidos, você pode construir algochamado Dork.

Uma dork é um conjunto de termos de busca que faz com o que o Google reajadiretamente ao pesquisado retornando resultados cada vez mais objetivos. Paraconstruir sua Dork você primeiro deverá ter em mente o que deseja buscar. Vamosver:

“Preciso de uma Dork que me traga arquivos php de áreas de Login do PHPmyADMIN”

intitle: phpmyadmin filetype: php intext: login

Agora é só adaptar os exemplos para a sua necessidade.

Usando Google Hacking para testes de invasãoComo todos sabemos o Google é a ferramenta de pesquisa mais usada no mundo, quepossui um código de programação muito robusto e que podemos usar tanto para obem como para o mal, ou apenas para conhecimento em testes de invasão.

Nesse artigo explicaremos como usar o Google para testes de invasão, então usemcom moderação e para seu conhecimento.

Para começarmos com Google Hacking, precisamos saber alguns métodos depesquisas avançados no Google, como alguns “códigos ou operadores” que serãoreconhecidos pela ferramenta de pesquisa.

Começando

Um dos operadores básicos e mais usados é o sinal de adição “+” que faz com quevocê busque diversas palavras específicas que podem estar relacionadas em suapesquisa. Como também usando aspas juntamente, mas para entendermos melhorvamos ver na prática.

Powered by Inline Related Posts

Digitem no Google:——­Begin RSA Private Key——–

E depois digitem:“——­Begin RSA Private Key——–” +openssl

Notem que usando a aspas junto com o sinal de adição após, o Google irá buscarexatamente a frase junto com a palavra “somada” relacionada.

Operadores booleanos

Outro método de pesquisa é usar os operadores booleanos juntos também com ossinais básicos “aspas e soma”. Vejam um exemplo:

malware AND “hunter” “home lab”ou

(malware OR virus) hunting AND “home lab”

LEIA TAMBÉM:  Kali Linux 2016.1 – A primeira ediçãorolling

23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks

http://www.ramosdainformatica.com.br/entendendo­o­google­hacking­na­pratica­e­otimizando­suas­buscas­com­dorks/ 6/6

(malware OR virus) hunting AND “home lab”ou(malware OR virus) hunting AND “home lab” ­twitter

Digitando as mesmas características só que com operadores diferentes, notamos queos resultados de buscas mudam, acrescentando, subtraindo ou especificandoresultados.

Avançando

Existem muitos outros operadores e filtros que podem ser usados no Google, entãopara sermos mais objetivos, listamos em um PDF para vocês baixarem e testarem.

Segue olink:https://www.faagle.com/file/Google_Hacking_Cheat_Sheet_20160821163719

Bom, mas vamos a outros exemplos de filtros mais avançados, vejam.

Especificamos o site onde queremos buscar e quais palavras queremos encontrar nele.

“password dump” +@gmail.com site:pastebin.com.

Agora buscando o local exato de um diretório que queremos.inurl:/phpMyAdmin/index.php db=

Buscando documentos com extensão e nome desejado.inurl:”nist.gov” filetype:PDF best practice

Buscando exploits para determinado sistema.“Windows XP” +exploit ­site:exploit­db.com

Conclusão

Tornando nossa vida mais fácil usando esses diversos operadores e métodos debuscas da forma que quiser e com sua imaginação o Google vai muito além do quepodemos imaginar.

O Google é uma ferramenta poderosa e claro uma das principais usadas por hackers.

Workshop Gratuito de Google Hacking onlineO Bruno Fraga do Técnicas de Invasão lançou esta semana um WorkShop Gratuitosobre o tema, aqui.