01 lutego 2010

Google hacking w praktyce!

poniedziałek, lutego 01, 2010 | Autor: \m/ojtek
Każda szanująca się organizacja chce być obecna w największej na świecie wyszukiwarce, co jest zupełnie zrozumiałe. Nie wszyscy jednak zdają sobie sprawę z tego, że intruz stosujący specjalnie skonstruowane zapytania, może w tej samej wyszukiwarce odnaleźć informacje, których dana organizacja wcale nie chciałaby upubliczniać...

Techniki konstruowania specyficznych zapytań, mogą intruzowi pozwolić na odkrycie tak cennych zasobów jak:
  • informacje personalne;
  • adresy poczty elektronicznej;
  • nazwy użytkowników (usernames);
  • serwisy internetowe podatne na określone typy ataków;
  • interfejsy webowe przeznaczone do zarządzania urządzeniami (np. drukarkami sieciowymi).
Zazwyczaj tego typu zapytania korzystają z zaawansowanych operatorów wyszukiwania. Oto kilka przykładów tego typu zapytań:
  • intitle:index.of.etc – zapytanie pozwalające na odnalezienie zawartości katalogów etc pochodzących z rozmaitych serwerów; a w nich wielu ciekawych plików konfiguracyjnych oraz zawierających hasła użytkowników;
  • "vnc desktop" inurl:5800 – zapytanie pozwalające na odnalezienie stron umożliwiających zalogowanie się do zdalnego pulpitu komputerów, udostępnionych poprzez usługę Java VNC Viewer;
  • "lista płac" filetype:xls | filetype:xlsx – zapytanie wyszukujące listy płac, zawarte w plikach MS Excel; z pewnością nie wszystkie z plików wynikowych zostały zindeksowane przez Google zgodnie z wolą właścicieli;
  • inurl:indexFrame.shtml Axis – zapytanie pozwalające na odnalezienie stron z kamerami internetowymi Axis;
  • inurl:hp/device/this.LCDispatcher – zapytanie pozwalające na odnalezienie webowych interfejsów administracyjnych wielu różnych drukarek HP.
Wypróbujmy więc Google hacking w praktyce. Spróbujmy wprowadzić do "jedynej słusznej" wyszukiwarki następujące zapytanie:
W wyniku otrzymamy dostęp do ponad 900 webowych interfejsów zarządzania drukarką sieciową HP LaserJet 9050!
Odnieśmy się teraz do wczorajszych informacji na temat podatności wtyczki WordPress Calendar Plugin na atak Sql Injection. Po upublicznieniu tego rodzaju informacji, crackerzy są w stanie odnaleźć serwisy podatne na atak za pomocą prostego zapytania w postaci:
Po odnalezieniu podatnych na atak serwisów, wykonanie udanego ataku będzie już tylko kwestią wykonania odpowiedniego odwołania do serwisu, zawierającego wstrzyknięty kod SQL!

Jak mogliśmy się więc przekonać na podstawie tych kilku przykładów, Google hacking to potężne narzędzie wywiadowcze, pozwalające na zebranie niemalże dowolnych informacji, ograniczone wyłącznie wyobraźnią osoby konstruującej zapytania. Ogromną bazę tego rodzaju technik można znaleźć w Google Hacking Database. Korzystając z bazy i ograniczając wyniki zapytań do konretnej organizacji, cracker może po kolei testować, które z zapytań ujawni jakieś interesujące informacje. W dokładnie taki sam sposób mogą jednak działać administratorzy, sprawdzając, czy ich organizacja, nie ujawnia w ten sposób ważnych danych. Warto również wiedzieć, że istnieją również narzędzia automatyzujące Google hacking, takie jak: Metagoofil, Goolag, czy też Wikto. Może więc warto na wszelki wypadek sprawdzić, co na nasz temat udostępnia całemu światu Google?
Etykiety: , , ,
Subskrybuj: Komentarze do posta (Atom)

Blogger Template created with Artisteer by Wojciech Smol.