Google Hacker
intitle:”index of” “Index of
/” password.txt
Google Hacking (46 ejemplos):
cómo consigue un hacker
contraseñas usando sólo Google.
Google puede ser tu peor enemigo.
Google Hacking son técnicas para hackear páginas web o servidores usando Google como
herramienta. Habitualmente, cundo escribo
trucos para ser el 1º en Google
, Google es
bueno, te ayuda y es tu amigo. Pero aquí verás cómo
Google puede ser tu peor enemigo
.
El proceso que sigue un hacker tiene 7 pasos:
1.
2.
3.
4.
5.
6.
7.
Localizar objetivo
Recopilar información sobre objetivo
Identificar vulnerabilidades
Explotar vulnerabilidades y acceder
Ataque
Borrado de huellas
Mantener el acceso, para futuras ocasiones
Google les ayuda directamente en los pasos 1, 2, 3 y 7. E indirectamente en los pasos 4, 5 y
6, porque pueden buscar en Google cómo llevarlos a cabo.
Para hacer
Google Hacking
, tienes que conocer los
operadores avanzados de búsqueda
de Google
, que se pueden incluír en el recuadro normal de búsquedas individualmente o
combinados entre sí. Luego pondré ejemplos reales de esto, no te preocupes si no lo
entiendes ahora. Además, tienes más información en la
guía de Google sobre sus comandos
de búsqueda avanzada
. Aquí van los principales
comandos de búsqueda avanzada de
Google
:
● ” ” (comillas): buscar frase exacta
● and or not: operadores lógicos “y” o “no”
●+ y : incluír y excluír. Ej: jaguar coches: busca la palabra “jaguar”, pero omite las
webs con la palabra “coches”
● * (asterisco): comodín, cualquier palabra, pero una sóla palabra
● . (punto): comodín, cualquier palabra, una o muchas
● intitle o allintitle: la expresión buscada está en el título
● inurl o allinurl: la expresión buscada está en la url
● site: sólo busca resultados dentro de la web que va detrás de “site:”
●filetype: sólo busca archivos de un tipo (doc, xls, txt…)
● link: sólo busca en páginas que tienen un link a una determinada web
● inanchor: sólo busca en páginas que tienen en el texto de enlace la expresión
buscada
● cache: muestra el resultado en la cache de Google de una pagina web
● related: busca webs relacionadas con una determinada
Combinando estos operadores, el hacker puede obtener 7 tipos de información. A
continuación describo los grupos de información y pongo en cursiva los códigos que hay que
meter en el rectángulo de búsquedas de Google:
1) Ficheros con usuarios y contraseñas
: lo que permite al hacker entrar directamente en tu
web. Ejemplos:
● ext:pwd inurl:(service | authors | administrators | users) “# FrontPage”
Usuarios y claves de administradores, para modificar la web. Se ven directamente en Google,
sin necesidad de entrar en la página. Hay más de 1.100 claves así en Google
● filetype:sql “# dumping data for table” “`PASSWORD` varchar”
Bases de datos sql
volcadas completas, tienen datos de usuarios y contraseñas. Se pueden hacer
modificaciones en la cadena de búsqueda, para sacar otros tipos de información. Aquí un ejemplo de contraseñas de la Universidad de Vigo. Las contraseñas van
encriptadas en md5, pero basta buscar en Google la contraseña y el hacker
encontrará un foro donde alguien la ha desencriptado y sale la original. Pongo un
recuadro negro en los emails
● intitle:”index of” “Index of /” password.txt
Servidores con un archivo llamado
password.txt. Se puede centrar por países con site:.es o por páginas educativas
con site:.edu
●filetype:inc intext:mysql_connect password please could port
Google nos da
más de 2.000 usuarios y contraseñas de bases de datos MySQL
●
● filetype:sql “MySQL dump” (pass|password|passwd|pwd)
Más contraseñas
disponibles en bases de datos
●
● “there are no administrators accounts yet” “create the Super User” inurl:admin.php ...
Regístrate para leer el documento completo.