23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks http://www.ramosdainformatica.com.br/entendendoogooglehackingnapraticaeotimizandosuasbuscascomdorks/ 1/6 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks Posted on 24 de agosto de 2016 by Ramos de Souza Janones in Linux, Notícias, Segurança, SEO,Web | Edit Compartilhe O Google Hacking é uma técnica utilizada para otimizar as buscas do Google usando seus recursos afim de cavar mais profundamente em termos de indexação ou até mesmo levantar informações sigilosas sobre empresas e pessoas. Além disso, é um ótima ferramenta para encontrar coisas mais especificas dentro de sites e URL’s como pdfs, documentos e etc. Esses recursos podem muito bem ser aproveitados durante um teste de invasão, e até hoje é uma das maiores ferramentas para identificação de vulnerabilidades em massa. Existem muitas ferramentas que fazem esse tipo de levantamento buscando falhas de SQL Injection, XSS, senhas fracas, diretórios abertos e etc, e o por mais complicado que pareça na teoria, na prática não vai nada além de uma pesquisa no Google com alguns termos adicionais. Podemos inclusive fazer uso do cache do Google para ter acesso a versões mais antigas e indisponíveis dos sites em determinados casos. Para essas pesquisas você usa termos específicos que faz os Google ser mais direto e específico na busca, e combinando esses termos você constrói algo chamado Dork. Ramos De Souza Janones
6
Embed
Entendendo o google hacking na pratica e otimizando suas buscas com dorks
This document is posted to help you gain knowledge. Please leave a comment to let me know what you think about it! Share it to your friends and learn new things together.
Transcript
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
Entendendo o Google Hacking na Pratica eOtimizando suas Buscas com DorksPosted on 24 de agosto de 2016 by Ramos de Souza Janones in Linux, Notícias, Segurança, SEO,Web | Edit
Compartilhe
O Google Hacking é uma técnica utilizada para otimizar as buscas do Google usandoseus recursos afim de cavar mais profundamente em termos de indexação ou atémesmo levantar informações sigilosas sobre empresas e pessoas. Além disso, é umótima ferramenta para encontrar coisas mais especificas dentro de sites e URL’s comopdfs, documentos e etc.
Esses recursos podem muito bem ser aproveitados durante um teste de invasão, e atéhoje é uma das maiores ferramentas para identificação de vulnerabilidades em massa.Existem muitas ferramentas que fazem esse tipo de levantamento buscando falhas deSQL Injection, XSS, senhas fracas, diretórios abertos e etc, e o por mais complicadoque pareça na teoria, na prática não vai nada além de uma pesquisa no Google comalguns termos adicionais. Podemos inclusive fazer uso do cache do Google para teracesso a versões mais antigas e indisponíveis dos sites em determinados casos.
Para essas pesquisas você usa termos específicos que faz os Google ser mais direto eespecífico na busca, e combinando esses termos você constrói algo chamado Dork.
Vamos abordar alguns exemplos de comandos que podemos adicionar em nossa buscapara filtrar melhor os resultados:
Comando site
Powered by Inline Related Posts
O comando site realiza buscas dentro de sites especificos apenas, comum paradetectar configurações e vulnerabilidades em sites específicos, evitando que outrosdomínios sujem sua busca. Também uma ótima ferramenta para encontrar aquelepost perdido dentro de um site que você esqueceu de adicionar aos favoritos.
site:nanoshots.com.br uniscan
LEIA TAMBÉM: Microsoft mostra integração entretablets e o Xbox 360
O Comando intitle quando utilizando no meio de uma Dork, faz a busca nos títulos daspaginas com os termos que você definir. É muito utilizado para realizar buscas atrásde páginas administrativas, por páginas de login, restritas e etc.
Ex: intitle:”VNC viewer for Java”
Comando inurlEste comando faz buscas dentro da URL com os termos destacados.
inurl: /admin
23/08/2016 Entendendo o Google Hacking na Pratica e Otimizando suas Buscas com Dorks
Combianando alguns desses exemplos mais conhecidos, você pode construir algochamado Dork.
Uma dork é um conjunto de termos de busca que faz com o que o Google reajadiretamente ao pesquisado retornando resultados cada vez mais objetivos. Paraconstruir sua Dork você primeiro deverá ter em mente o que deseja buscar. Vamosver:
“Preciso de uma Dork que me traga arquivos php de áreas de Login do PHPmyADMIN”
intitle: phpmyadmin filetype: php intext: login
Agora é só adaptar os exemplos para a sua necessidade.
Usando Google Hacking para testes de invasãoComo todos sabemos o Google é a ferramenta de pesquisa mais usada no mundo, quepossui um código de programação muito robusto e que podemos usar tanto para obem como para o mal, ou apenas para conhecimento em testes de invasão.
Nesse artigo explicaremos como usar o Google para testes de invasão, então usemcom moderação e para seu conhecimento.
Para começarmos com Google Hacking, precisamos saber alguns métodos depesquisas avançados no Google, como alguns “códigos ou operadores” que serãoreconhecidos pela ferramenta de pesquisa.
Começando
Um dos operadores básicos e mais usados é o sinal de adição “+” que faz com quevocê busque diversas palavras específicas que podem estar relacionadas em suapesquisa. Como também usando aspas juntamente, mas para entendermos melhorvamos ver na prática.
Powered by Inline Related Posts
Digitem no Google:——Begin RSA Private Key——–
E depois digitem:“——Begin RSA Private Key——–” +openssl
Notem que usando a aspas junto com o sinal de adição após, o Google irá buscarexatamente a frase junto com a palavra “somada” relacionada.
Operadores booleanos
Outro método de pesquisa é usar os operadores booleanos juntos também com ossinais básicos “aspas e soma”. Vejam um exemplo:
malware AND “hunter” “home lab”ou
(malware OR virus) hunting AND “home lab”
LEIA TAMBÉM: Kali Linux 2016.1 – A primeira ediçãorolling
(malware OR virus) hunting AND “home lab”ou(malware OR virus) hunting AND “home lab” twitter
Digitando as mesmas características só que com operadores diferentes, notamos queos resultados de buscas mudam, acrescentando, subtraindo ou especificandoresultados.
Avançando
Existem muitos outros operadores e filtros que podem ser usados no Google, entãopara sermos mais objetivos, listamos em um PDF para vocês baixarem e testarem.
Agora buscando o local exato de um diretório que queremos.inurl:/phpMyAdmin/index.php db=
Buscando documentos com extensão e nome desejado.inurl:”nist.gov” filetype:PDF best practice
Buscando exploits para determinado sistema.“Windows XP” +exploit site:exploitdb.com
Conclusão
Tornando nossa vida mais fácil usando esses diversos operadores e métodos debuscas da forma que quiser e com sua imaginação o Google vai muito além do quepodemos imaginar.
O Google é uma ferramenta poderosa e claro uma das principais usadas por hackers.
Workshop Gratuito de Google Hacking onlineO Bruno Fraga do Técnicas de Invasão lançou esta semana um WorkShop Gratuitosobre o tema, aqui.