Google Hacking PT BR

Machine Translated by Google
Hacking do Google para penetração

testadores
Usando o Google como ferramenta de teste de

segurança Johnny Long johnny@ihackstuff.com
o que estamos fazendo
• Eu odeio cafetão, mas estamos abordando muitas técnicas

abordadas no livro "Google Hacking".
• Para obter mais detalhes, recomendo que você
verifique "Google Hacking for Penetration Testers" da
Syngress Publishing.
Operadores avançados
Antes de podermos andar, devemos correr. Nos termos do Google,

isso significa entender os operadores avançados.
Operadores avançados
• Os operadores avançados do Google ajudam a refinar

as pesquisas. • Eles são incluídos como parte de uma consulta
padrão do Google. Operadores avançados usam uma sintaxe como a seguinte:
operador:search_term
• Não há espaço entre o operador, os dois pontos e o termo de

pesquisa!
Alguns
Visão geral dos operadores avançados
operadores só
podem ser usados
para pesquisar
operador Propósito Mistura com Pode ser A pesquisa funciona em

áreas específicas
outros usado
operadores? sozinho? Web Imagens Grupos Notícias
Operadores do Google, como
título mostram essas

avançados podem Pesquisar título da sim sim sim Sim sim sim
página
ser combinados colunas.
allintitle Pesquisar título da não sim sim Sim sim sim
em alguns página
inurl URL de pesquisa sim sim sim Sim não como título
tipo de URL de pesquisa não sim sim Sim SIM realmente sim como intitle
casos.
arquivo allinurl Pesquisar sim não SIM não não realmente
arquivos específicos
allintext Pesquisar apenas Na verdade não sim sim Sim sim sim
o texto da página
local Pesquisar sim sim sim Sim não Na verdade não
site específico
link Pesquisar não sim sim não não Na verdade não
links para páginas

em outro
âncora Texto âncora sim sim sim Sim não, sim
do link de pesquisa realmente
casos, a
numrange Localizar o sim sim sim não não Na verdade não
mistura deve número

daterange Pesquisar no sim não sim Na não Na verdade não
ser evitada.
intervalo de datas verdade não
autor Pesquisa de sim sim não não realmente sim Na verdade não
autor de grupo
grupo Pesquisa de Na verdade não sim não não sim Na verdade não
nome de grupo
insubmeter Pesquisa de sim sim sim como título

assunto de grupo como como
msgstr Pesquisa de não sim intitle intitle sim Na verdade não

msgid de grupo não realmente
não realmente
Curso intensivo em operadores avançados
Alguns operadores
pesquisam áreas
sobrepostas. Considere
site, inurl e tipo de arquivo.
SITE: INURL: TIPO DE ARQUIVO:
O site não pode Inurl pode pesquisar O tipo de arquivo só pode

toda a URL, incluindo pesquisar extensões de arquivo, o que
pesquisar a porta.
porta e tipo de arquivo. pode ser difícil de distinguir em URLs longos.
Pesquisa avançada do Google
Há muitas título: “Eu hackeio coisas”

tipo de arquivo: php
maneiras de
encontrar a
mesma página.
Essas
consultas
individuais podem
ajudar a encontrar a mesma página.
intext:navegar numrange: 99999-100000
Pesquisa avançada do Google

Coloque essas
consultas individuais
juntas em uma consulta
monstruosa e você
obterá apenas um resultado esp
Adicionar
operadores
avançados reduz o
número de resultados
adicionando foco à pesqu
Noções básicas de hackers do Google
Juntar operadores de maneira

inteligente pode causar uma
consulta aparentemente inócua…
INURL: administrador INURL: pedidos TIPO DE ARQUIVO: php


...pode retornar
resultados devastadores!
Cliente
nomes
OrderAmounts
Detalhes do
pagamento!
Vamos dar uma olhada em algumas técnicas básicas:
pesquisa anônima no Google

Caracteres especiais
pesquisa anônima no Google O link de cache é

uma ótima maneira
de obter conteúdo
depois que ele é excluído do site.
A questão é: de onde
exatamente esse
conteúdo vem?
• Algumas pessoas usam o link do cache como um anonimizador, pensando que o

conteúdo vem do Google. Vamos olhar mais de perto.
Esta linha do
cabeçalho da
página em cache
dá uma pista sobre
o que está acontecendo…
Esta saída do tcpdump mostra

pesquisa anônima no Google nosso tráfego de rede
enquanto carrega a página em cache.
21:39:24.648422 IP 192.168.2.32.51670 > 64.233.167.104.80 Este é o Google.

21:39:24.719067 IP 64.233.167.104.80 > 192.168.2.32.51670
21:39:24.720351 IP 64.233.167.104.80 > 192.168.2.32.51670
21:39:24.731503 IP 192.168.2.32.51670 > 64.233.167.104.80
21:39:24.897987 IP 192.168.2.32.51672 > 82.165.25.125.80 Isso é crack.
21:39:24.902401 IP 192.168.2.32.51671 > 82.165.25.125.80
21:39:24.922716 IP 192.168.2.32.51673 > 82.165.25.125.80
21:39:24.927402 IP 192.168.2.32.51674 > 82.165.25.125.80
21:39:25.017288 IP 82.165.25.125.80 > 192.168.2.32.51672
21:39:25.019111 IP 82.165.25.125.80 > 192.168.2.32.51672
21:39:25.019228 IP 192.168.2.32.51672 > 82.165.25.125.80
21:39:25.023371 IP 82.165.25.125.80 > 192.168.2.32.51671
21:39:25.025388 IP 82.165.25.125.80 > 192.168.2.32.51671
21:39:25.025736 IP 192.168.2.32.51671 > 82.165.25.125.80
21:39:25.043418 IP 82.165.25.125.80 > 192.168.2.32.51673
21:39:25.045573 IP 82.165.25.125.80 > 192.168.2.32.51673
Tocamos no servidor web do Phrac.
21:39:25.045707 IP 192.168.2.32.51673 > 82.165.25.125.80
Não estivessem
21:39:25.052853 IP 82.165.25.125.80 > 192.168.2.32.51674
anônimo.
• Obviamente tocamos no site, mas por quê? Aqui está uma saída
tcpdump mais detalhada :
0x0040 0d6c 4745 5420 2f67 7266 782f 3831 736d .lGET./grfx/81sm Uma
0x0050 626c 7565 2e6a 7067 2048 5454 502f 312e imagem blue.jpg.HTTP/1. carregado!
0x0060 310d 0a48 6f73 743a 2077 7777 2e70 6872 1..Host:.www.phr
0x0070 6163 6b2e 6f72 670d 0a43 6f6e 6e65 6374 ack.org..Connect
0x0080 696f 6e3a 206b 6565 702d 616c 6976 650d ion:.keep-alive.
0x0090 0a52 6566 6572 6572 3a20 6874 7470 3a2f .Referer:.http:/
0x00a0 2f36 342e 3233 332e 3136 312e 3130 342f /64.233.161.104/
0x00b0 7365 6172 6368 3f71 3d63 6163 6865 3a4c pesquisar?q=cache:L
0x00c0 4251 5a49 7253 6b4d 6755 4a3a 7777 772e BQZIrSkMgUJ:www.
0x00d0 7068 7261 636b 2e6f 7267 2f2b 2b73 6974 phrack.org/+
0x00e0 653a 7777 772e 7068 7261 636b 2e6f 7267 +site
0x00f0 2b70 6872 6163 6b26 686c 3d65 6e0d 0a55 e:www.phrack.org +phrack&hl=en..U
Esta linha explica isso.

Vamos clicar neste link
e farejar a conexão
novamente….
Desta vez, toda a conversa foi entre nós

(192.168.2.32) e o Google (64.233.167.104)
23:46:53.996067 IP 192.168.2.32.52912 > 64.233.167.104.80

23:46:54.025277 IP 64.233.167.104.80 > 192.168.2.32.52912
23:46:54.025345 IP 192.168.2.32.52912 > 64.233.167.104.80
23:46:54.025465 IP 192.168.2.32.52912 > 64.233.167.104.80
23:46:54.094007 IP 64.233.167.104.80 > 192.168.2.32.52912
23:46:54.124930 IP 64.233.167.104.80 > 192.168.2.32.52912
23:46:54.127202 IP 64.233.167.104.80 > 192.168.2.32.52912
23:46:54.128762 IP 64.233.167.104.80 > 192.168.2.32.52912
23:46:54.128836 IP 192.168.2.32.52912 > 64.233.167.104.80
23:47:54.130200 IP 192.168.2.32.52912 > 64.233.167.104.80
23:47:54.154500 IP 64.233.167.104.80 > 192.168.2.32.52912
23:47:54.154596 IP 192.168.2.32.52912 > 64.233.167.104.80
• O que fez a diferença? Vamos comparar as duas URLS:
• Original:
http://64.233.187.104/search?q=cache:Z7FntxDMrMIJ:www.phrack.org/hardcover62/+phrack+h
ardcover62&hl=en
• Somente texto em cache:

http://64.233.187.104/search?q=cache:Z7FntxDMrMIJ:www.phrack.org/hardcover62/+phrack+h
ardcover62&hl=en&lr=&strip=1
Adicionar &strip=1 ao final do

URL em cache mostra
apenas o texto do Google,
não o de destino.
• Googling anônimo pode ser útil, especialmente se combinado com um proxy. Aqui está um
resumo.
Faça uma pesquisa

no Google.
Clique com o botão direito do mouse
no link armazenado em cache e copie
o link para a área de transferência.
Cole o URL na barra de endereço,

adicione &strip=1 e pressione Enter.
Você está apenas tocando no Google
agora…
Caracteres Especiais de Pesquisa
• Usaremos alguns caracteres especiais em nossos exemplos. Esses

caracteres têm um significado especial para o Google. • Sempre use
esses caracteres sem espaços ao redor! • ( + ) força a inclusão de algo
comum • ( - ) exclui um termo de pesquisa • ( “ ) usa aspas em
torno de frases de pesquisa • ( . ) um curinga de um único
caractere • ( * ) qualquer palavra • ( | ) booleano 'OR' • Consultas
de grupo de parênteses (“master card” | mastercard)
Bloqueador de PHP do Google: “Desculpe..”
• O Google começou a bloquear consultas, provavelmente como

resultado de worms que atacam o Google com 'consultas malignas'.
Esta é uma consulta

para Inurl:admin.php
Solução alternativa do Google Hacker
Nossa consulta original fica assim :
http://www.google.com/search?q=inurl:admin.php&hl=en&lr=&c2coff=1&start=10&sa=N
Despojado , a consulta se parece com isso:
http://www.google.com/search?q=inurl:admin.php&start=10
• Podemos modificar nossa consulta (inurl:something.php é ruim) alterando

o caso da extensão do arquivo, assim:
http://www.google.com/search?q=inurl:admin.PHP&start=10
http://www.google.com/search?q=inurl:admin.pHp&start=10
http://www.google. com/search?q=inurl:admin.PhP&start=10
Isso também funciona na interface da web.

pré-avaliação
Há muitas coisas a considerar antes de testar um alvo, muitas

das quais o Google pode ajudar. Um exemplo brilhante é a coleção
de endereços de e-mail e nomes de usuário.
Trolling por endereços de e-mail
• Uma pesquisa aparentemente simples usa o sinal @ seguido

do nome do domínio principal.
O sinal “@” não

traduz bem…
Mas ainda podemos

usar os resultados...
Trolling automatizado para endereços de e-mail
• Poderíamos usar um lynx para automatizar o download do

Procurar Resultados:
lynx -dump http://www.google.com/search?q=@gmail.com > test.html
• Poderíamos então usar expressões regulares (como este cachorrinho por

Don Ranta) para vasculhar os resultados:
[a-zA-Z0-9._-]+@(([a-zA-Z0-9_-]{2,99}\.)+[a-zA-Z]{2,4})|( (25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-
9][0-9]|[1-9])\ (25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[1-9]) \ .(25[0-5]|2[0-4][0-9]|1[0-9]
[0-9]|[1-9][0-9]|[1-9] ) \.(25[0-5]|2[0-4][0-9]|1[0-9][0-9]|[1-9][0-9]|[1-9 ] ))
• Executado pelo grep, este regexp encontraria efetivamente endereços de e-

mail (incluindo endereços contendo números IP)
Mais automação de e-mail
• O script PERL 'email miner' de Roelof Temmingh no sensepost

fará efetivamente a mesma coisa, mas através do
API do Google:
Isso pesquisa os
dez primeiros
resultados do
Google… com
apenas um hit em sua chave de AP
mobiletype@gmail.com
fakubabe@gmail.com
lostmon@gmail.com
Mais automação de e-mail
label@gmail.com
charlescapps@gmail.com
billgates@gmail.com
ymtang@gmail.com
tonyedgecombe@gmail.com
ryawillifor@gmail.com
jruderman@gmail.com
itchy@gmail.com
gramophone@gmail.com
poojara@gmail.com
london2012@gmail.com
bush04@gmail.com
Executar a ferramenta em fengfs@gmail.com
username@gmail.com
50 resultados (com um
madrid2012@gmail.com
parâmetro 5 em vez de 1)
somelabel@gmail.com
encontra ainda mais
bartjcannon@gmail.com
endereços. fillmybox@gmail.com
silverwolfwsc@gmail.com
all_in_all@gmail.com
mentzer@gmail.com
kerry04@gmail.com
presidentbush@gmail.com
prabhav78@gmail.com
Mais localizações de endereços de e-mail Essas

consultas
localizam
endereços de e-mail em
mais
lugares
“interessantes”…
Mais localizações de endereços de e-mail Essas

consultas
localizam
endereços de e-mail em
mais
lugares
“interessantes”…
Mapeamento de rede
O Google é uma ferramenta indispensável para mapear uma rede

conectada à Internet.
Rastreamento básico de sites
• o site: o operador limita a pesquisa a um site específico,

domínio ou subdomínio.
Uma consulta poderosa
lista todos os
resultados do Google para um site!
site: microsoft.com
Na maioria das
vezes, uma
pesquisa no site
faz com que as
coisas óbvias flutuem para o topo.
Como
testador
de
segurança,
precisamos
chegar às
coisas menos óbvias.
www.microsoft.com é
óbvio demais…
• Para se livrar da porcaria mais óbvia, faça uma pesquisa negativa.
Observe que o
óbvio "www" está
faltando,
substituído por
domínios mais interessantes.
site:microsoft.com
-site:www.microsoft.com
Repetir esse processo de redução do site, rastreando o que flutua no topo, leva a grandes
consultas desagradáveis, como:
site:microsoft.com
-site: www.microsoft.com
-site:msdn.microsoft.com
-site:support.microsoft.com
-site:download.microsoft.com
-site:office.microsoft.com
…
• Os resultados de uma consulta tão grande revelam informações mais interessantes

resultados…
página de pesquisa...
Eventualmente,
atingiremos um
limite de 32
consultas e
página HTTPS... esse processo
tende a ser tedioso.
Rastreamento de site intermediário
Usando o lynx
para capturar a
página de
resultados do Google…
..retorna o ..e sed e awk

mesmo para processar o
resultados. HTML…
E daí?
• Bem, honestamente, a enumeração de host e domínio não é nova, mas

estamos fazendo isso sem enviar nenhum pacote para o destino que
estamos analisando. • Isso tem vários benefícios: - Baixo perfil. O alvo não
pode ver sua atividade.
Os resultados são “classificados” pelo Google. Isso significa que o mais

coisas públicas flutuam para o topo. Mais alguns trolls de “coisas
interessantes” perto do final.
- "Dicas" para reconhecimento de acompanhamento. Você não está apenas recebendo hosts e
nomes de domínio, você obtém informações do aplicativo apenas
observando o snippet retornado do Google. Uma página de resultados
pode ser processada para muitos tipos de informações. Endereços
de e-mail, nomes, etc. Mais sobre isso mais tarde…
Como estamos obtendo dados de várias fontes, podemos nos concentrar
em relacionamentos não óbvios. Isso é enorme! Alguns lados negativos :
- Em alguns casos, pode ser mais rápido e fácil como um cara legal usar
técnicas e ferramentas tradicionais que se conectam ao alvo, mas
lembre-se - os bandidos ainda podem encontrar e segmentar você pelo
Google!
Rastreamento avançado de sites
• O Google faz fronteira com a automação, a menos que você use

ferramentas escritas com sua API. Saiba o que você está executando, a
menos que não se importe com os termos de serviço deles.
• Poderíamos facilmente modificar nosso comando de recuperação lynx

para extrair mais resultados, mas em muitos casos, mais resultados
não equivalem a mais hosts exclusivos. • Assim, também poderíamos
usar outra técnica para localizar hosts... simples consultas de palavras
comuns à moda antiga.
Procurando
várias
palavras
comuns como
“web”, “site”,
“email” e
“sobre” junto
com o site…
anexado a um arquivo…
Examinando
o resultado
dessas
consultas,
encontramos muitos
mais
sucessos
interessantes.
Roelof Temmingh, da
sensepost.com, codificou
essa técnica em um script
PERL (baseado em API)
chamado dns-mine.pl para
obter resultados muito mais eficientes.
Veremos mais sobre a
codificação mais tarde...

Muito barulho, pouco sinal…
• Obter listas de hosts e (sub)domínios é ótimo. Dá a você

mais alvos, mas há outro ângulo. • A maioria dos sistemas
é tão segura quanto seu elo mais fraco. • Se uma empresa
mal protegida tiver uma relação de confiança com seu alvo,
esse é o seu caminho.
• Pergunta: Como podemos determinar as relações do site

com o Google?
Uma resposta: o operador “link”.

Uso de link bruto link: combinado com o

nome de um site
mostra… sites que
apontam para esse site.
link: tem
limites
embora.
Veja mapquest aqui?
O link tem limites
…combinando
link: com site:
não parece funcionar…
O link tem limites
Link: é tratado como

texto de pesquisa
normal (não um
modificador de
pesquisa) quando
combinado com
outros operadores.
O link tem outros limites
Saber que esses

sites têm links
para www.microsoft.com
é ótimo, mas quão
relevante é essa
informação?
Nós necessariamente nos preocupamos

com os relacionamentos classificados pelo Google?
Como chegamos a
relacionamentos REAIS?
Relacionamentos não óbvios do site

• Sensepost para o resgate
novamente! =) • BiLE (o extrator de links
bidirecionais), disponível em http://
www.sensepost.com/garage_portal.html nos ajuda a
reunir links do Google e juntar esses relacionamentos.
• Há muito mais detalhes sobre esse processo em seu
whitepaper, mas vamos abordar o básico…
• Um link de um site pesa mais do que um link para um site

Qualquer pessoa pode criar um link para um site se possuir espaço na web (que é gratuito
para todos)
• Um link de um site com muitos links pesa menos que um link

de um site com poucos links
Isso significa especificamente links de saída.

- Se um site tiver poucos links externos, provavelmente é mais leve.
Existem exceções óbvias, como fazendas de links.
• Um link para um site com muitos links para o site pesa menos do que
um link para um site com poucos links para o site.
– Se fontes externas apontam para um site, deve ser importante (ou
mais especificamente popular)
É basicamente assim que o Google avalia um site.
• O site fornecido como parâmetro de entrada não precisa ter o peso mais
alto – uma boa indicação de que o site fornecido não é o site central da
organização.”
- Se depois de muita pesquisa, o site que você está investigando não
peso, você provavelmente perdeu o site principal do alvo.
Quem é Sensepost?
Confiar nos mais de

6.400 resultados do
Google pode ser
assustador... e enganoso.
• Parece estonteante reunir tudo isso, mas o BiLE faz

maravilhas. Vamos apontar para sensepost.com:
Esta é a fase de extração.

O BiLE está procurando links
para www.sensepost.com
(via Google) e gravando os
resultados em um arquivo chamado “out”…
• Esta é a fase de pesagem. BiLE pega a saída da fase de extração…
E pesa os resultados usando os

quatro principais critérios de
ponderação discutidos acima...
auxiliados principalmente pelas
pesquisas do Google.
Isso mostra os
relacionamentos mais fortes com
nosso site de destino primeiro, que
durante uma avaliação equivale a alvos
secundários, especialmente para coleta de infor
O próximo passo…
Digamos que
estamos olhando para a NASA….
Poderíamos usar
pesquisas
'googleturd',
como site:nasa
para localizar
erros de digitação
que podem ser sites reais…
Como podemos verificar

isso???
Verificação do host…
• Limpar os nomes e executar pesquisas de DNS é uma maneira...
Poderíamos expandir ainda

Paga sujeira! O que agora??? mais esses intervalos de IP
por meio de consultas de DNS também…
Expandindo…
• Uma vez armados com uma lista de sites e domínios,
poderíamos expandir a lista de várias maneiras. As consultas
de DNS são úteis, mas o que mais podemos fazer para obter mais nomes para tentar?
• De qualquer fonte, digamos que recebemos dois
nomes da verizon, 'fundação' e investidor'...
Conjuntos do Google
• Embora este seja um exemplo simples, podemos

jogar essas duas palavras no Google Sets….
Expandindo
• Em seguida, podemos pegar todas essas palavras e realizar pesquisas

de host DNS em cada uma dessas combinações:
..isso leva a um novo

hit, 'business.verizon.com'.
Os conjuntos do
Google permitem que
você expanda uma lista
quando ficar sem opções.
Fuzzing
• Dados os hosts com números e nomes "previsíveis",

poderíamos difundir os números, realizando pesquisas de DNS nesses
nomes…
• Vou deixar Roelof no sensepost discutir este tópico, no entanto… =)
Possibilidades de mapeamento ilimitadas…
• Depois de começar a usar o mapeamento do Google, especialmente

o mapeamento recursivo automatizado, você ficará SURPREENDIDO
com a profundidade com que pode se aprofundar no layout de um alvo.
varredura de porta
• Embora rudimentares,
existem maneiras de
fazer "portscanning"
básico com o Google. •
Primeiro, combine
pesquisas inurl para uma
porta com o nome de um
serviço que normalmente
escuta nessa porta…
(opcionalmente combinado
com o operador do site)
Escaneamento Inurl -intext
• Outro caminho a seguir é

usar um número de porta
com inurl, combinado com
uma pesquisa de texto
negativa para esse número de porta.
Esta pesquisa localiza

servidores escutando na
porta 8080.
scanners de terceiros
• Quando tudo mais falhar, procure no Google por servidores que possam
fazer o seu portscan para você!
Moagem de documentos e banco de dados

Escavação
Documentos e bancos de dados contêm uma riqueza de informações.
Vejamos maneiras de promover o abuso de bancos de dados SQL com o Google.

Nomes de usuário SQL
“Acesso negado para

usuário” “usando senha”
Esquemas SQL
• Despejos inteiros do banco de dados SQL
“# Despejando dados para a tabela”
Adicionar 'nome de
usuário' ou 'senha' a essa
consulta torna as coisas
realmente interessantes.
A terminação
imprópria do
comando pode ser
facilmente abusada por um in
Dicas de injeção SQL ORA-00933:
Comando SQL
não finalizado
corretamente"
"Aspas abertas antes

da cadeia de
caracteres"
fonte SQL
• Obter linhas de origem SQL pode ajudar um invasor.
título: "Erro
Ocorreu" "O
erro ocorreu em"
Indo atrás de senhas SQL
tipo de arquivo:inc intext:mysql_connect
Incluir arquivos com

senhas de texto
não criptografado…
Mais Senhas SQL
• Pergunta: Qual é a sintaxe SQL que pode ser usada para

definir senhas? • (DUAS PALAVRAS)
Uma resposta: “Identificado por”

Mais Senhas SQL
• A versão um pouco mais hardcore…

Várias consultas de detecção de banco de dados
Detecção de despejo SQL
Detecção de banco de dados

Automação
Raspagem de página em Perl

Consulta de API em Perl
Raspagem de página com Perl
• O código Thie Perl, de James Foster, fornece uma boa estrutura para resultados
do Google de "captura de página". • Este método baseia-se na consulta
manual do Google e na pesquisa do HTML resultante em busca de “coisas

interessantes”.
#!/usr/bin/perl Estaremos fazendo chamadas

-w use IO::Socket; de socket. Precisamos
de IO::Socket.
#Seção 2
$consulta = '/search?
Codificamos permanentemente
hl=en&q=cachorro'; $servidor =
nossa consulta (que podemos
'www.google.com'; $porta = 80;
definir como parâmetro
posteriormente), nosso servidor
do Google e nosso número de porta.
sub socketInit()
{ $socket =
IO::Socket::INET->new(
Proto => 'tcp', Em seguida, temos uma sub-rotina de
PeerAddr => $servidor, inicialização de soquete muito
PeerPort => $porta, genérica.
tempo limite =>
10, );
less($socket)
{ die("Não foi
possível conectar a $server:$port"); }
$socket->autoflush(1);
}
Esta sub-rotina envia a consulta do
Google (codificada acima) e aceita

sub sendQuery($)
um parâmetro, a consulta do
{ my ($myquery)
Google.
= @_; print $socket
("GET $myquery HTTP/1.0\n\n");
while ($linha = <$socket>)
{
if ($line =~ /Results.*of\sabout/)
{
retornar $linha;
}
} O HTML retornado pelo Google é
} processado e a linha contendo “de about” (nossa
linha de resultado) é retornada dessa
rotina.

Esta sub-rotina recebe um
sub getTotalHits($) parâmetro (a linha de resultados do
{ my ($ourline) = enviar consulta)
@_; $hits="";
$índice =
“de aproximadamente está localizado”…
índice($nossalinha, "sobre"); $str =
substr($ourline, $index, 30);
…os próximos 30 caracteres
@buf=split(//,$str);
são capturados…
for ($i = 0; $i < 30; $i++)
{ if ($buf[$i]
=~ /[0-9]/) { … todos os dígitos são
removidos….
$hits=$hits.$buf[$i];
}
} …armazenado em $hits…
retornar
$acertos; }
…e voltou.
Raspagem de página com Perl Este trecho de código

controla todas as
O soquete é sub-rotinas.
inicializado...
…a consulta é
socketInit(); enviada…
$string = sendQuery($consulta);
$totalhits = getTotalHits($string); …o total de acertos é
determinado…
#Imprimindo para STDOUT o Total de Acessos Recuperados do
Google print ($totalhits);
...e impresso.
Digitalização CGI
Outro exemplo de automação
pode envolver cortar o arquivo
/iisadmpwd/ / de vulnerabilidade de um
iisadmpwd/achg.htr / scanner CGI…
iisadmpwd/aexp.htr /
iisadmpwd/aexp2.htr /
iisadmpwd/aexp2b.htr
inurl:/iisadmpwd/ … convertendo os cheques em

inurl:/iisadmpwd/achg.htr consultas do Google, enviando
inurl:/iisadmpwd/aexp.htr essas consultas para um scanner do Google.
inurl:/iisadmpwd/aexp2.htr
inurl:/iisadmpwd/aexp2b.htr
intitle:index.of /iisadmpwd/
intitle:index.of /iisadmpwd/achg.htr
intitle:index.of /iisadmpwd/aexp.htr
intitle:index.of /iisadmpwd/aexp2.htr
intitle:index.of /iisadmpwd/aexp2b .htr
Servidores Web, Portais de Login,

Hardware de Rede
Os dispositivos de rede podem ser muuuuito divertidos para o Google para…

Navegador de Arquivos da Web
• Este programa permite movimentação de diretórios, upload de arquivos e

mais.
Servidores VNC (com cliente)
• VNC (Virtual Network Computing) permite controlar remotamente uma

estação de trabalho.
A pesquisa é muito básica
Esses sites iniciam um cliente

VNC Java para que você
possa se conectar! Mesmo
se protegido por senha,
o cliente revela o nome do
servidor e a porta.
Graças a lester para

este!
Gateways SMTP do Symantec AntiVirus

Servidores de impressão Axis Administração

do servidor de
impressão, estilo Google!
Graças a
murfie para
este!
Webcams Xenix, Sweex, Orite
Uma consulta,
muitas
marcas de
câmeras ao vivo!
Obrigado
ao server1
por este!
ActiveWebCam
Obrigado
klouw!
Câmeras de Rede Toshiba
título: "câmera
de rede toshiba -
login de usuário"
Encontrado
por WarriorClown!
Roteadores Speedstream DSL
• Conectividade de banda larga doméstica… Pesquisou no Google.
Quem você
quer
desconectar
hoje?
Encontrado
por m00d!
Roteadores Belkin
• Os roteadores Belkin tornaram-se um nome familiar em

domicílios conectados. A interface de gerenciamento
não deveria aparecer no Google... mas aparece.
Obrigado
darksun por
este!
impressoras
• Trollar impressoras pelo Google pode ser divertido, especialmente quando

você pode ver e baixar o que outras pessoas estão imprimindo...
Religião…
E afrodisíacos?
Hummm…
Obrigado Jimmy Neutron!

Firewalls - Smoothwall
Uh oh… este firewall

precisa ser atualizado…
Obrigado
Leiteiro!
Firewalls - IPCop
Uh oh… este
também precisa ser atualizado!
Obrigado
Jimmy Neutron!
Dados IDS: ACID
• Dados SNORT IDS entregues graficamente, servidos de forma atualizada
ACID “por
romano
Danyliw"
tipo de arquivo:php
Abra os dispositivos Cisco
Obrigado
Jimmy Neutron!
Comutadores Cisco
Obrigado
Jimmy Neutron!
Sites PHP Nuke Abertos
• O PHP Nuke permite a criação de um site completo

com pouco esforço.
Com preguiça de
instalar o PHP Nuke?
Em vez disso, possua o
site de outra pessoa!
Obrigado
ao preso
por essa belezura!
Abra o PHP Nuke… de outra maneira…
Clique
aqui,
crie superusuário!
Câmeras de segurança
• Embora muitas câmeras sejam multifuncionais, certas marcas tendem a

ser mais usadas para trabalhos de segurança.
Obrigado
stonersavant!
Câmeras de segurança
Não tenho
certeza
do que é
“Woodie”, mas
não estou clicando nele….
Obrigado murphy!
Gravadores de vídeo com lapso de tempo
• Um elemento básico de qualquer sistema de segurança decente, essas unidades

de controle de câmera obtiveram alta tecnologia.. E podem ser pesquisadas no Google...
A busca não
Depois, há a
é grande
coisa... incômoda
caixa de login…
Gravadores de vídeo com lapso de tempo
Até hackers idiotas sabem como usar

senhas padrão para obter…
…segurança
ao vivo múltipla
…e registros históricos
Câmera
de feeds de vídeo
Visualizações…
gravados
Obrigado
ao
stonersavant por essa beleza!
Monitores UPS
Conhecendo
os monitores do
Power System…
Obrigado simins!
Oh espere... Tipo errado de

UPS... isso é hacking de
Monitores UPS
rastreamento de pacotes... =P
Obrigado Espírito
Digital!
Hackeando sistemas de energia!
• A tecnologia não é grandiosa? Este produto permite a gestão web das

tomadas!
A pesquisa do
Google localiza a página de login.
O que qualquer
hacker decente faz em
uma página de login?
Hackeando sistemas de energia!
Quem você
quer
desligar
hoje?
Obrigado
a Jimmy
Neutron por esta beleza!
Google Phreaking
• Pergunta… O que é mais fácil de hackear com um navegador da web?
R: Sipura Spa B: Rotary

IP 2000 vintage dos anos 1970
Telefone Telefone
QuickTime™ e um QuickTime™ e um
O descompactador TIFF (descompactado) descompactador TIFF (descompactado)
são necessários para ver esta imagem.
é necessário para ver esta imagem.
Sipura SPA Telefone IP
Que tal
pesquisar no
Google o último
número que seu amigo discou?
Ou o último
número que
discou para eles?
Obrigado
stonersavant!!!
Vídeo conferência
Quem você
quer
desconectar
hoje?
Obrigado sim!!!
Sistemas PABX
• As interfaces de gerenciamento baseadas na Web abrem as

portas para um Google Hacker criativo.
Veja o "logout"?
Já estamos logados!
Não precisamos de
nenhuma senha steenkin!
Sistemas PABX
Nenhuma senha necessária.

Mesmo um internauta iniciante Obrigado a
pode se tornar um "hacker stonersavant por este
grande achado!
de PBX". =)
Nomes de usuário, senhas e coisas

secretas, oh meu Deus!
Há todo tipo de coisa por aí que as pessoas provavelmente não

pretendiam tornar públicas. Vejamos alguns exemplos…
DCIM
O que é
DCIM?
Digital
Câmera
despejos
de imagem….
Obrigado
xlockex!
Listas de Contatos do MSN
As listas de
contatos do MSN
permitem que
um invasor se torne 'pessoal'
Graças a
harry-aac!
Moda antiga! Dedo…
Hacking
do Google por
volta de 1980!!?!?
Graças a
Jimmy Neutron!
Senhas corporativas do Norton AntiVirus
Criptografado,
mas gostoso
(e crackable)!
Obrigado
LEITEIRO!
Servidores SQL abertos
Já logado, não é
necessário hackear!
Obrigado
Quadster!
Senhas FTP ServU
Senhas
ServU
FTP Daemon,
super criptografadas! =P
Obrigado
ao vs1400 por
este!
Ficheiros Históricos do Netscape
Ops. Senhas
de e-mail
POP!
Graças à
revolução
digital para este!
Chaves de criptografia final IPSec
Eu apenas folheei
'Criptografia Aplicada'.. Mas Obrigado
isso parece ruim… LEITEIRO!
Explorador. EXPLORADOR!?!?!
O que você quer

deletar hoje???

Mais Exploradores?!?!
Por que
hackear
quando você pode… clicar? =)
Obrigado MacUK!
Mais Exploradores?!?!
suspirar…

Documentos governamentais sensíveis
• Pergunta: São documentos governamentais confidenciais e não públicos

Na internet?
• Resposta: Sim.
Uma vez que esses

documentos chegam à
Internet, a mídia entra
em frenesi e as
pessoas começam a copiar
e postar os documentos…
Documentos FOUO
Embora não
classificado, este
documento obviamente
não foi feito para ser postado online.
Documentos FOUO
FOUO “Guias de
Prevenção”, como esta
beleza de 19 páginas, pode
dar idéias horríveis aos bandidos.
Bloqueado!
• Alguns sites bloqueiam dados confidenciais.
• No entanto, a imagem do
cache do Google ainda
permanece.
Informações de cartão de crédito na web?
Como isso pode acontecer? Vamos fazer um tour por algumas

das possibilidades…
Documentos judiciais
• Os processos judiciais às vezes fornecem MUITOS detalhes sobre os

casos, especialmente fraude.
• Quantos detalhes são detalhes demais? =)

• É claro que as contas fraudulentas são fechadas rapidamente, não?

Um conto de uma cobra de milho
• Isso é real? De qualquer forma é muito triste...

Obtendo shell .. o caminho mais fácil
• Já ouvi a expressão 'usar cartão de crédito online', mas isso

é ridículo!
Algumas pessoas simplesmente não entendem….

Obtendo serialz… ei!! e mais!

• Esta é uma pessoa muito generosa. Ele está disposto a dar o seu
números de série de software e suas informações de cartão de crédito
para o mundo inteiro. Generosidade como essa pode mudar o mundo.
relatórios de crimes da polícia
• Duas perguntas: •
Os relatórios policiais são de registro
público? • SIM.
• Eles estão na web? • SIM.
• Muitos estados começaram a colocar relatórios de crimes

policiais do campus na web. Os alunos têm o direito de saber
quais crimes ocorrem no campus.
O crime não deve compensar...
• Acho que deveria haver um processo para filtrar esses

relatórios.
• Alguns podem cair nas rachaduras….

Relatório de despesas
• Não é incomum que relatórios de despesas sejam gerados.

Este é para um condado.
• Números de contas bancárias….

• Informações sobre empréstimos bancários... $ 20.000 + transações

Oh garoto…
Relatório de despesas…
• Alguém tem que pagar por tudo isso….

• Essa é uma baita série de vídeos…. $ 300+
Cartões de crédito… o ouro do hacker do Google…
• A lenda de encontrar cartões de crédito online é verdadeira…

• Eu simplesmente fico entediado vasculhando todos eles….
listagens de cartão de crédito

Listagens de crédito
“”
Mais cartões de crédito online…

Mais Cartões de Crédito Online



Escolha um cartao, qualquer cartao…
…Pegue uma carta.

Levamos todos!
Validação de crédito
Pergunta: O que impede alguém de usar um número de cartão

de crédito e data de validade roubados para fazer uma compra
online? • Resposta: Aquele pequeno código no verso do cartão.
• Pergunta bônus: como é chamado esse

código? • Resposta: Um código CVV.
Números de cartão de crédito, data de validade e

números CVV, oh meu!
Isso não é tudo….
• Os cartões de crédito são tão anos 90 =)

Ficando mais pessoal
• Pergunta: Qual é o número de 9 dígitos que você não deve dar a

NINGUÉM?
• Resposta: SSN
• Pergunta bônus: O que você pode fazer com o SSN de alguém? •

Resposta: Roube sua identidade.
• Como os SSNs chegam à web? Vamos dar uma olhada em algumas

possibilidades.
SSN's no código-fonte
• Bem, eles podem ser codificados em um sistema de saúde... e

uhmmm... colocados na web...
O crime não deve compensar...
Lembra dos relatórios policiais? Como as contas de cartão

de crédito neles não são boas, talvez devêssemos trollá-los
um pouco mais….
SSN's - Relatórios Policiais

SSNs
• Os alunos têm o direito de saber…

Números de Segurança Social

• Muitas violações de privacidade são autoinfligidas…
“”

• As escolas são notórias... Notas publicadas com os SSNs dos alunos
“”

• Depois de obter um bloqueio em uma lista de notas, os resultados se
espalham conforme você explora o site.
“”
Não
faltam
exemplos…
• Para roubar a identidade de alguém, você precisa de nomes.

SSN's com nomes geralmente são bloqueados... não são?
O cache
do Google
diz o contrário…
“”
Um conto de uma cidade
• Um documento da cidade descrevendo os residentes que estão em

dívida com a cidade… Um pequeno relatório de nomes, endereços,
valor devido e números SSN…
• Ou talvez mais do que um pequeno relatório…
“”
• Centenas de informações pessoais de moradores da cidade

postadas na web... 90% incluindo SSN e endereço.
“”
O que fizemos…
• Examinamos “Google Hacking for Penetration Testers” da

Syngress Publishing, que não parece ruim. • Vimos algumas
ótimas ferramentas de Roelof Temmingh.
Confira Sensepost.com. •
Invadimos a privacidade de milhões. •
Ainda estamos todos acordados. Certo?
Obrigado!
• Graças a Deus pelo dom da vida. •

Agradeço à minha família pelo presente de
amor. • Agradeço aos meus amigos por
preencherem os espaços em branco. • Agradecimentos aos
moderadores do ihackstuff.com: Murfie, Jimmy Neutron,
ThePsyko, Wasabi, l0om, Stonersavant • Agradecimentos a Roelof
T pelo ótimo código e aos atuais Google Masters: murfie,
jimmyneutron, klouw, l0om, stonersavant, MILKMAN , ThePsyko,
cybercide, yeseins, wolveso, Deadlink, crash_monkey, zoro25,
digital.revolution, Renegade334, wasabi, urban, sfd, mlynch,
Peefy, Vipsta, noAcces, brasileiro, john, Z!nCh

Google Hacking PT BR

Enviado por

Direitos autorais:

Formatos disponíveis

Google Hacking PT BR

Enviado por

Dados do documento

Título original

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

Google Hacking PT BR

Enviado por

Direitos autorais:

Formatos disponíveis

Machine Translated by Google

Hacking do Google para penetração

Usando o Google como ferramenta de teste de

o que estamos fazendo

• Eu odeio cafetão, mas estamos abordando muitas técnicas

Antes de podermos andar, devemos correr. Nos termos do Google,

• Os operadores avançados do Google ajudam a refinar

• Não há espaço entre o operador, os dois pontos e o termo de

podem ser usados

operador Propósito Mistura com Pode ser A pesquisa funciona em

título mostram essas

links para páginas

mistura deve número

insubmeter Pesquisa de sim sim sim como título

msgstr Pesquisa de não sim intitle intitle sim Na verdade não

Curso intensivo em operadores avançados

SITE: INURL: TIPO DE ARQUIVO:

O site não pode Inurl pode pesquisar O tipo de arquivo só pode

Pesquisa avançada do Google

Há muitas título: “Eu hackeio coisas”

Pesquisa avançada do Google

Noções básicas de hackers do Google

Juntar operadores de maneira

INURL: administrador INURL: pedidos TIPO DE ARQUIVO: php

Noções básicas de hackers do Google

Noções básicas de hackers do Google

Vamos dar uma olhada em algumas técnicas básicas:

pesquisa anônima no Google

pesquisa anônima no Google O link de cache é

pesquisa anônima no Google

• Algumas pessoas usam o link do cache como um anonimizador, pensando que o

Esta saída do tcpdump mostra

21:39:24.648422 IP 192.168.2.32.51670 > 64.233.167.104.80 Este é o Google.

pesquisa anônima no Google

tcpdump mais detalhada :

pesquisa anônima no Google

Esta linha explica isso.

pesquisa anônima no Google

Desta vez, toda a conversa foi entre nós

23:46:53.996067 IP 192.168.2.32.52912 > 64.233.167.104.80

pesquisa anônima no Google

• O que fez a diferença? Vamos comparar as duas URLS:

• Somente texto em cache:

Adicionar &strip=1 ao final do

pesquisa anônima no Google

Faça uma pesquisa

Clique com o botão direito do mouse

no link armazenado em cache e copie

o link para a área de transferência.

Cole o URL na barra de endereço,

Caracteres Especiais de Pesquisa

• Usaremos alguns caracteres especiais em nossos exemplos. Esses

Bloqueador de PHP do Google: “Desculpe..”

• O Google começou a bloquear consultas, provavelmente como

Esta é uma consulta

Solução alternativa do Google Hacker

Nossa consulta original fica assim :

Despojado , a consulta se parece com isso:

• Podemos modificar nossa consulta (inurl:something.php é ruim) alterando