Scribd Logo
Cargar

¡Te damos la bienvenida a Scribd!

  • Hacking Con Google

    Cargado por

    Oscar David Lopez Villa
    5 vistas30 páginas

    Derechos de autor

    © © All Rights Reserved

    Formatos disponibles

    PDF, TXT o lea en línea desde Scribd

    ¿Le pareció útil este documento?

    ¿Este contenido es inapropiado?

    Denunciar este documento

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    5 vistas30 páginas

    Hacking Con Google

    Cargado por

    Oscar David Lopez Villa

    Copyright:

    © All Rights Reserved
    Descargue como PDF, TXT o lea en línea desde Scribd
    Marcar por contenido inapropiado
    de 30

    Hacking con Google

    Dr. Gonzalo lvarez Maran

    Presentacin
    Introduccin El ABC de Google Tcnicas bsicas de hacking con Google Bsqueda de informacin con Google Automatizando a Google Cmo evitar a Google

    Aplicaciones de la criptografa

    -2-

    Dr. Gonzalo lvarez Maran (CSIC)

    Introduccin

    Proceso de ataque
    Recopilacin de informacin sobre el objetivo

    Identificacin de vulnerabilidades

    Explotacin de vulnerabilidades

    Continuacin del ataque

    Aplicaciones de la criptografa

    -4-

    Dr. Gonzalo lvarez Maran (CSIC)

    Abc de Google

    Google es mucho ms que un simple buscador

    Aplicaciones de la criptografa

    -6-

    Dr. Gonzalo lvarez Maran (CSIC)

    Consultas bsicas
    Consulta de palabras Consulta de frases Operadores booleanos

    AND OR NOT + . *
    -7Dr. Gonzalo lvarez Maran (CSIC)

    Caracteres especiales:

    Aplicaciones de la criptografa

    Consultas avanzadas
    Intitle, Allintitle Allintext Inurl, Allinurl Site Filetype Link Inanchor Cache Numrange

    Aplicaciones de la criptografa -8-

    Daterange Info Related Author, Group, Insubject, Msgid Stocks Define Phonebook

    Dr. Gonzalo lvarez Maran (CSIC)

    El URL de Google
    q start num filter restrict hl lr ie Etc.

    Aplicaciones de la criptografa -9Dr. Gonzalo lvarez Maran (CSIC)

    Hacking bsico con Google

    Navegacin annima
    El cach de Google almacena copias de las pginas indexadas Consulta:

    site:sitio.com texto

    Las imgenes y otros objetos no estn en el cach Utilizando la propiedad texto guardado en el cach no se cargan las imgenes Se necesita utilizar el URL

    Aplicaciones de la criptografa

    -11-

    Dr. Gonzalo lvarez Maran (CSIC)

    Servidor proxy
    Un servidor proxy hace las peticiones en lugar del usuario Se utiliza la capacidad de traduccin de pginas de Google y otros servicios similares:

    www.google.es/translate?u=http://www.playboy.com&langpair=en|en

    No es un proxy annimo Puede saltarse filtros de contenidos


    Aplicaciones de la criptografa

    -12-

    Dr. Gonzalo lvarez Maran (CSIC)

    Cabeza de puente
    Google indexa todo lo que se le diga Qu pasa si se crea una pgina con URLs de ataque y se le dice a Google que la indexe?

    Aplicaciones de la criptografa

    -13-

    Dr. Gonzalo lvarez Maran (CSIC)

    Buscando informacin

    Google Hacking Database


    Mantenida en http://johnny.ihackstuff.com/ Almacena cientos de googledorks Actualizada continuamente Clasificada en varias categoras:

    Vulnerabilidades Mensajes de error Archivos con contraseas Portales de entrada Deteccin de servidor web Archivos sensibles Deteccin de dispositivos
    -15Dr. Gonzalo lvarez Maran (CSIC)

    Aplicaciones de la criptografa

    Listados de directorios
    Contienen informacin que no debera verse Consulta:

    intitle:index.of parent directory


    Bsqueda de directorios/archivos especficos


    intitle:index.of inurl:admin intitle:index.of ws_ftp.log

    Bsqueda de servidores

    Apache: intitle:index.of Apache/* server at IIS: intitle:index.of Microsoft-IIS/* server at

    Tcnicas de navegacin transversal


    -16Dr. Gonzalo lvarez Maran (CSIC)

    Aplicaciones de la criptografa

    Reconocimiento de red
    Araa: site:sitio.com Objetivo: conocer subdominios Consulta:

    site:sitio.com -site:www.sitio.com

    Herramientas automatizadas:

    SP-DNS-mine.pl www.sensepost.com/restricted/SPDNS-mine.pl

    Aplicaciones de la criptografa

    -17-

    Dr. Gonzalo lvarez Maran (CSIC)

    SO y servidor web
    Listado de directorios Aplicaciones/documentacin de ejemplo del servidor web Mensajes de error del servidor web Mensajes de error de aplicaciones web

    Aplicaciones de la criptografa

    -18-

    Dr. Gonzalo lvarez Maran (CSIC)

    Bsqueda de sitios vulnerables


    Pginas de demostracin del fabricante Cdigo fuente Escaneo CGI

    Aplicaciones de la criptografa

    -19-

    Dr. Gonzalo lvarez Maran (CSIC)

    Informacin de base de datos


    Nombres de usuario
    acces denied for user using password

    Estructura de la base de datos


    filetype:sql # dumping data for table

    Inyeccin de SQL
    Unclosed quotation mark before the character string

    Cdigo fuente SQL


    intitle:"Error Occurred" "The error occurred in incorrect syntax near

    Contraseas
    filetype:inc intext:mysql_connect filetype:sql "identified by" -cvs

    Deteccin de archivos la base de datos


    filetype:mdb inurl:users.mdb filetype:mdb inurl:email inurl:backup


    -20Dr. Gonzalo lvarez Maran (CSIC)

    Aplicaciones de la criptografa

    Nombres usuario/contraseas
    intitle:index.of passwd intitle:"Index.of..etc" passwd intitle:index.of pwd.db passwd intitle:index.of ws_ftp.ini intitle:index.of people.lst intitle:index.of passlist intitle:index.of .htpasswd intitle:index.of .htpasswd htpasswd.bak filetype:reg reg intext:"internet account manager filetype:mdb inurl:profiles http://*:*@www
    Aplicaciones de la criptografa -21Dr. Gonzalo lvarez Maran (CSIC)

    Automatizando a Google

    Google API
    Servicio web gratuito para consulta remota a Google Incorpora la potencia de Google a cualquier programa Soporta las mismas funciones que el URL Limitaciones:

    Exige registrarse 1000 consultas/da 10 resultados/consulta

    Aplicaciones de la criptografa

    -23-

    Dr. Gonzalo lvarez Maran (CSIC)

    SiteDigger
    Creado por Foundstone www.foundstone.com Utiliza la Google API Exige la instalacin de .NET Framework 1.1 Utiliza la base de datos FSDB o GHDB Genera bonitos informes en HTML

    Aplicaciones de la criptografa -24Dr. Gonzalo lvarez Maran (CSIC)

    Wikto

    Creada por Sensepost www.sensepost.com Herramienta de anlisis de seguridad web de propsito general Mdulo de hacking Google similar a Sitedigger Requiere Google API

    Utiliza GHDB Modo de operacin automtico o manual



    Aplicaciones de la criptografa -25Dr. Gonzalo lvarez Maran (CSIC)

    Athena
    Creada por SnakeOil Labs snakeoillabs.com No utiliza la Google API, por lo que viola los trminos de uso de Google Requiere el .NET Framework Utiliza archivos de configuracin XML

    Aplicaciones de la criptografa -26Dr. Gonzalo lvarez Maran (CSIC)

    Cmo evitar a Google

    Proteger el servidor web


    Bloqueo de buscadores mediante robots.txt


    User-agent: googlebot Disallow: /directorio/archivos

    No indexar:
    <META NAME="GOOGLEBOT" CONTENT="NOINDEX, NOFOLLOW">

    No almacenar en cach:
    <META NAME=GOOGLEBOT CONTENT=NOARCHIVE> <META NAME=GOOGLEBOT CONTENT=NOSNIPPET>

    Aplicaciones de la criptografa

    -28-

    Dr. Gonzalo lvarez Maran (CSIC)

    Eliminacin de pginas de Google


    Eliminacin de la cach de Google desde la pgina de eliminaciones services.google.com/urlconsole/controller


    Dirigirle al archivo robots.txt Utilizar una directiva META Opcin de eliminacin de enlaces antiguos

    Aplicaciones de la criptografa

    -29-

    Dr. Gonzalo lvarez Maran (CSIC)

    http://www.iec.csic.es/~gonzalo/

    Preguntas

    También podría gustarte