Entendendo o google hacking na pratica e otimizando suas buscas com dorks
-
Upload
ramos-janones -
Category
Technology
-
view
262 -
download
6
Transcript of Entendendo o google hacking na pratica e otimizando suas buscas com dorks
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 1/6
Entendendo o Google Hacking na Pratica eOtimizando suas Buscas com DorksPosted on 24 de agosto de 2016 by Ramos de Souza Janones in Linux, Notícias, Segurança, SEO,Web | Edit
Compartilhe
O Google Hacking é uma técnica utilizada para otimizar as buscas do Google usandoseus recursos afim de cavar mais profundamente em termos de indexação ou atémesmo levantar informações sigilosas sobre empresas e pessoas. Além disso, é umótima ferramenta para encontrar coisas mais especificas dentro de sites e URL’s comopdfs, documentos e etc.
Esses recursos podem muito bem ser aproveitados durante um teste de invasão, e atéhoje é uma das maiores ferramentas para identificação de vulnerabilidades em massa.Existem muitas ferramentas que fazem esse tipo de levantamento buscando falhas deSQL Injection, XSS, senhas fracas, diretórios abertos e etc, e o por mais complicadoque pareça na teoria, na prática não vai nada além de uma pesquisa no Google comalguns termos adicionais. Podemos inclusive fazer uso do cache do Google para teracesso a versões mais antigas e indisponíveis dos sites em determinados casos.
Para essas pesquisas você usa termos específicos que faz os Google ser mais direto eespecífico na busca, e combinando esses termos você constrói algo chamado Dork.
Ramos De Souza Janones
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 2/6
Vamos abordar alguns exemplos de comandos que podemos adicionar em nossa buscapara filtrar melhor os resultados:
Comando site
Powered by Inline Related Posts
O comando site realiza buscas dentro de sites especificos apenas, comum paradetectar configurações e vulnerabilidades em sites específicos, evitando que outrosdomínios sujem sua busca. Também uma ótima ferramenta para encontrar aquelepost perdido dentro de um site que você esqueceu de adicionar aos favoritos.
site:nanoshots.com.br uniscan
LEIA TAMBÉM: Microsoft mostra integração entretablets e o Xbox 360
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 3/6
Comando intile
O Comando intitle quando utilizando no meio de uma Dork, faz a busca nos títulos daspaginas com os termos que você definir. É muito utilizado para realizar buscas atrásde páginas administrativas, por páginas de login, restritas e etc.
Ex: intitle:”VNC viewer for Java”
Comando inurlEste comando faz buscas dentro da URL com os termos destacados.
inurl: /admin
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 4/6
Comando filetypeEsse comando funciona de auxiliar a outros termos de pesquisa e procura em sites
Powered by Inline Related Posts
inurl: /admin filetype: php
Comando intext
O comando intext também é um axuliar que faz com que o buscador procure dentrode arquivos PDF, HTML e TXT por termos especificados. ]
inurl: security filetype: pdf +intext:Linux
Construindo sua Dork
LEIA TAMBÉM: Treinamento online em Técnicas deInvasão
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 5/6
Construindo sua Dork
Combianando alguns desses exemplos mais conhecidos, você pode construir algochamado Dork.
Uma dork é um conjunto de termos de busca que faz com o que o Google reajadiretamente ao pesquisado retornando resultados cada vez mais objetivos. Paraconstruir sua Dork você primeiro deverá ter em mente o que deseja buscar. Vamosver:
“Preciso de uma Dork que me traga arquivos php de áreas de Login do PHPmyADMIN”
intitle: phpmyadmin filetype: php intext: login
Agora é só adaptar os exemplos para a sua necessidade.
Usando Google Hacking para testes de invasãoComo todos sabemos o Google é a ferramenta de pesquisa mais usada no mundo, quepossui um código de programação muito robusto e que podemos usar tanto para obem como para o mal, ou apenas para conhecimento em testes de invasão.
Nesse artigo explicaremos como usar o Google para testes de invasão, então usemcom moderação e para seu conhecimento.
Para começarmos com Google Hacking, precisamos saber alguns métodos depesquisas avançados no Google, como alguns “códigos ou operadores” que serãoreconhecidos pela ferramenta de pesquisa.
Começando
Um dos operadores básicos e mais usados é o sinal de adição “+” que faz com quevocê busque diversas palavras específicas que podem estar relacionadas em suapesquisa. Como também usando aspas juntamente, mas para entendermos melhorvamos ver na prática.
Powered by Inline Related Posts
Digitem no Google:——Begin RSA Private Key——–
E depois digitem:“——Begin RSA Private Key——–” +openssl
Notem que usando a aspas junto com o sinal de adição após, o Google irá buscarexatamente a frase junto com a palavra “somada” relacionada.
Operadores booleanos
Outro método de pesquisa é usar os operadores booleanos juntos também com ossinais básicos “aspas e soma”. Vejam um exemplo:
malware AND “hunter” “home lab”ou
(malware OR virus) hunting AND “home lab”
LEIA TAMBÉM: Kali Linux 2016.1 – A primeira ediçãorolling
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 6/6
(malware OR virus) hunting AND “home lab”ou(malware OR virus) hunting AND “home lab” twitter
Digitando as mesmas características só que com operadores diferentes, notamos queos resultados de buscas mudam, acrescentando, subtraindo ou especificandoresultados.
Avançando
Existem muitos outros operadores e filtros que podem ser usados no Google, entãopara sermos mais objetivos, listamos em um PDF para vocês baixarem e testarem.
Segue olink:https://www.faagle.com/file/Google_Hacking_Cheat_Sheet_20160821163719
Bom, mas vamos a outros exemplos de filtros mais avançados, vejam.
Especificamos o site onde queremos buscar e quais palavras queremos encontrar nele.
“password dump” [email protected] site:pastebin.com.
Agora buscando o local exato de um diretório que queremos.inurl:/phpMyAdmin/index.php db=
Buscando documentos com extensão e nome desejado.inurl:”nist.gov” filetype:PDF best practice
Buscando exploits para determinado sistema.“Windows XP” +exploit site:exploitdb.com
Conclusão
Tornando nossa vida mais fácil usando esses diversos operadores e métodos debuscas da forma que quiser e com sua imaginação o Google vai muito além do quepodemos imaginar.
O Google é uma ferramenta poderosa e claro uma das principais usadas por hackers.
Workshop Gratuito de Google Hacking onlineO Bruno Fraga do Técnicas de Invasão lançou esta semana um WorkShop Gratuitosobre o tema, aqui.