miércoles, 22 de agosto de 2018

Google Hacking: Una interesante herramienta a la hora de la recopilación de datos

Cuando hablamos de Google Hacking o browser hacking no nos estamos refiriendo a hackear Google, nos referimos a una poderosa herramienta, la cual nos ayudará mucho en primera instancia para recopilar información sobre el sistema físico.

Fig.1 Google Hacking

Esta herramienta es simplemente una serie de "comandos" que ponemos en el buscador, para poder filtrar resultado y averiguar si cualquier página se ha dejado abierto cualquier acceso ya sea a su código PHP, documentos Pdf y demás recursos que según lo que encontremos al descubierto.

Podremos saber como empezar el ataque, ya sea mirando en PHP y descubriendo que su DB está mal protegida y así aplicando Sqli o bien, en el caso más extremo cualquier documento pdf que tenga unos metadatos que nos den info sobre el atacado.

Aquí os dejaré unos recursos para que os vayáis familiarizando con la herramienta:
Ahora os pasaré a explicar un caso práctico en el cual podríamos aplicarlo en una prueba real.

Por ejemplo, el más básico que se podría hacer
  1. Buscamos intitle: "index of" site: .es
  2. Veremos que nos da como salida los siguientes resultados
Fig.2 Resultados Browser Hacking

Aquí veremos la serie de recursos que hemos sacado, son muy globales pero de ejemplo sirve y ahora veremos, el resultado de por ejemplo el primer enlace que encontramos: 

Fig.3 Recursos

Aquí tendremos una serie de documentos que sólo están en el back-end de la página, comentar también que si estamos haciendo algun tipo de trabajo de pentesting y no queremos ser descubiertos, es recomendable cargar siempre las páginas de sitio en cuestión desde cache, esto cargará lo que tiene almacenado Google y no mandará ninguna petición a la web que estemos atacando. 

En próximos post, puede que lo mencione, como recurso complementario a otros ataques, espero que os haya servido, un saludo. 

No hay comentarios:

Publicar un comentario