Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Presentacin
Introduccin El ABC de Google Tcnicas bsicas de hacking con Google Bsqueda de informacin con Google Automatizando a Google Cmo evitar a Google
Aplicaciones de la criptografa
-2-
Introduccin
Proceso de ataque
Recopilacin de informacin sobre el objetivo
Identificacin de vulnerabilidades
Explotacin de vulnerabilidades
Aplicaciones de la criptografa
-4-
Abc de Google
Aplicaciones de la criptografa
-6-
Consultas bsicas
Consulta de palabras Consulta de frases Operadores booleanos
AND OR NOT + . *
-7Dr. Gonzalo lvarez Maran (CSIC)
Caracteres especiales:
Aplicaciones de la criptografa
Consultas avanzadas
Intitle, Allintitle Allintext Inurl, Allinurl Site Filetype Link Inanchor Cache Numrange
Daterange Info Related Author, Group, Insubject, Msgid Stocks Define Phonebook
El URL de Google
q start num filter restrict hl lr ie Etc.
Navegacin annima
El cach de Google almacena copias de las pginas indexadas Consulta:
site:sitio.com texto
Las imgenes y otros objetos no estn en el cach Utilizando la propiedad texto guardado en el cach no se cargan las imgenes Se necesita utilizar el URL
Aplicaciones de la criptografa
-11-
Servidor proxy
Un servidor proxy hace las peticiones en lugar del usuario Se utiliza la capacidad de traduccin de pginas de Google y otros servicios similares:
www.google.es/translate?u=http://www.playboy.com&langpair=en|en
Aplicaciones de la criptografa
-12-
Cabeza de puente
Google indexa todo lo que se le diga Qu pasa si se crea una pgina con URLs de ataque y se le dice a Google que la indexe?
Aplicaciones de la criptografa
-13-
Buscando informacin
Vulnerabilidades Mensajes de error Archivos con contraseas Portales de entrada Deteccin de servidor web Archivos sensibles Deteccin de dispositivos
-15Dr. Gonzalo lvarez Maran (CSIC)
Aplicaciones de la criptografa
Listados de directorios
Contienen informacin que no debera verse Consulta:
Bsqueda de servidores
Aplicaciones de la criptografa
Reconocimiento de red
Araa: site:sitio.com Objetivo: conocer subdominios Consulta:
site:sitio.com -site:www.sitio.com
Herramientas automatizadas:
SP-DNS-mine.pl www.sensepost.com/restricted/SPDNS-mine.pl
Aplicaciones de la criptografa
-17-
SO y servidor web
Listado de directorios Aplicaciones/documentacin de ejemplo del servidor web Mensajes de error del servidor web Mensajes de error de aplicaciones web
Aplicaciones de la criptografa
-18-
Aplicaciones de la criptografa
-19-
Nombres de usuario
acces denied for user using password
Inyeccin de SQL
Unclosed quotation mark before the character string
Contraseas
filetype:inc intext:mysql_connect filetype:sql "identified by" -cvs
Aplicaciones de la criptografa
Nombres usuario/contraseas
intitle:index.of passwd intitle:"Index.of..etc" passwd intitle:index.of pwd.db passwd intitle:index.of ws_ftp.ini intitle:index.of people.lst intitle:index.of passlist intitle:index.of .htpasswd intitle:index.of .htpasswd htpasswd.bak filetype:reg reg intext:"internet account manager filetype:mdb inurl:profiles http://*:*@www
Aplicaciones de la criptografa -21Dr. Gonzalo lvarez Maran (CSIC)
Automatizando a Google
Google API
Servicio web gratuito para consulta remota a Google Incorpora la potencia de Google a cualquier programa Soporta las mismas funciones que el URL Limitaciones:
Aplicaciones de la criptografa
-23-
SiteDigger
Creado por Foundstone www.foundstone.com Utiliza la Google API Exige la instalacin de .NET Framework 1.1 Utiliza la base de datos FSDB o GHDB Genera bonitos informes en HTML
Wikto
Creada por Sensepost www.sensepost.com Herramienta de anlisis de seguridad web de propsito general Mdulo de hacking Google similar a Sitedigger Requiere Google API
Athena
Creada por SnakeOil Labs snakeoillabs.com No utiliza la Google API, por lo que viola los trminos de uso de Google Requiere el .NET Framework Utiliza archivos de configuracin XML
No indexar:
<META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW">
No almacenar en cach:
<META NAME=GOOGLEBOT CONTENT=NOARCHIVE> <META NAME=GOOGLEBOT CONTENT=NOSNIPPET>
Aplicaciones de la criptografa
-28-
Dirigirle al archivo robots.txt Utilizar una directiva META Opcin de eliminacin de enlaces antiguos
Aplicaciones de la criptografa
-29-
http://www.iec.csic.es/~gonzalo/
Preguntas