Download - Operadores de Búsqueda avanzados en Google
![Page 1: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/1.jpg)
Hacking con Google
Dr. Gonzalo Álvarez Marañón
![Page 2: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/2.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-2-
Presentación
IntroducciónEl ABC de GoogleTécnicas básicas de hacking con GoogleBúsqueda de información con GoogleAutomatizando a GoogleCómo evitar a Google
![Page 3: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/3.jpg)
Introducción
![Page 4: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/4.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-4-
Proceso de ataque
Recopilación de información sobre el objetivo
Identificación de vulnerabilidades
Explotación de vulnerabilidades
Continuación del ataque
![Page 5: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/5.jpg)
Abc de Google
![Page 6: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/6.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-6-
Google es mucho más que un simple buscador
![Page 7: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/7.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-7-
Consultas básicasConsulta de palabrasConsulta de frasesOperadores booleanos
ANDORNOT
Caracteres especiales:+-.*
![Page 8: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/8.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-8-
Consultas avanzadas
Intitle, AllintitleAllintextInurl, AllinurlSiteFiletypeLinkInanchorCacheNumrange
DaterangeInfoRelatedAuthor, Group, Insubject, MsgidStocksDefinePhonebook
![Page 9: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/9.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-9-
El URL de Google
qstartnumfilterrestricthllrieEtc.
![Page 10: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/10.jpg)
Hacking básicocon Google
![Page 11: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/11.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-11-
Navegación anónima
El caché de Google almacena copias de las páginas indexadasConsulta:site:sitio.com texto
Las imágenes y otros objetos no están en el caché Utilizando la propiedad “texto guardado en el caché” no se cargan las imágenesSe necesita utilizar el URL
![Page 12: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/12.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-12-
Servidor proxy
Un servidor proxy hace las peticiones en lugar del usuarioSe utiliza la capacidad de traducción de páginas de Google y otros servicios similares:www.google.es/translate?u=http://www.playboy.com&langpair=en|en
No es un proxy anónimoPuede saltarse filtros de contenidos
![Page 13: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/13.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-13-
Cabeza de puente
Google indexa todo lo que se le diga¿Qué pasa si se crea una página con URLs de ataque y se le dice a Google que la indexe?
![Page 14: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/14.jpg)
Buscandoinformación
![Page 15: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/15.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-15-
Google Hacking DatabaseMantenida en http://johnny.ihackstuff.com/Almacena cientos de googledorksActualizada continuamenteClasificada en varias categorías:
VulnerabilidadesMensajes de errorArchivos con contraseñasPortales de entradaDetección de servidor webArchivos sensiblesDetección de dispositivos
![Page 16: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/16.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-16-
Listados de directorios
Contienen información que no debería verseConsulta:intitle:index.of “parent directory”
Búsqueda de directorios/archivos específicosintitle:index.of inurl:adminintitle:index.of ws_ftp.log
Búsqueda de servidoresApache: intitle:index.of “Apache/*” “server at”IIS: intitle:index.of “Microsoft-IIS/* server at”
Técnicas de navegación transversal
![Page 17: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/17.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-17-
Reconocimiento de red
Araña: site:sitio.comObjetivo: conocer subdominiosConsulta:site:sitio.com -site:www.sitio.com
Herramientas automatizadas:SP-DNS-mine.pl www.sensepost.com/restricted/SP-DNS-mine.pl
![Page 18: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/18.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-18-
SO y servidor web
Listado de directoriosAplicaciones/documentación de ejemplo del servidor webMensajes de error del servidor webMensajes de error de aplicaciones web
![Page 19: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/19.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-19-
Búsqueda de sitios vulnerables
Páginas de demostración del fabricanteCódigo fuenteEscaneo CGI
![Page 20: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/20.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-20-
Información de base de datos
Nombres de usuario“acces denied for user” “using password”
Estructura de la base de datosfiletype:sql “# dumping data for table”
Inyección de SQL“Unclosed quotation mark before the character string”
Código fuente SQLintitle:"Error Occurred" "The error occurred in” “incorrect syntax near”
Contraseñasfiletype:inc intext:mysql_connect filetype:sql "identified by" -cvs
Detección de archivos la base de datosfiletype:mdb inurl:users.mdb filetype:mdb inurl:email inurl:backup
![Page 21: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/21.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-21-
Nombres usuario/contraseñas
intitle:index.of passwdintitle:"Index.of..etc" passwdintitle:index.of pwd.db passwdintitle:index.of ws_ftp.iniintitle:index.of people.lstintitle:index.of passlistintitle:index.of .htpasswdintitle:index.of “.htpasswd” htpasswd.bakfiletype:reg reg intext:"internet account manager“filetype:mdb inurl:profiles“http://*:*@www”
![Page 22: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/22.jpg)
Automatizandoa Google
![Page 23: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/23.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-23-
Google API
Servicio web gratuito para consulta remota a GoogleIncorpora la potencia de Google a cualquier programaSoporta las mismas funciones que el URLLimitaciones:
Exige registrarse1000 consultas/día10 resultados/consulta
![Page 24: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/24.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-24-
SiteDigger
Creado por Foundstonewww.foundstone.comUtiliza la Google APIExige la instalación de .NET Framework 1.1Utiliza la base de datos FSDB o GHDBGenera bonitos informes en HTML
![Page 25: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/25.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-25-
Wikto
Creada por Sensepostwww.sensepost.comHerramienta de análisis de seguridad web de propósito generalMódulo de hacking Googlesimilar a SitediggerRequiere Google APIUtiliza GHDBModo de operación automático o manual
![Page 26: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/26.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-26-
Athena
Creada por SnakeOilLabs snakeoillabs.comNo utiliza la Google API, por lo que viola los términos de uso de GoogleRequiere el .NET FrameworkUtiliza archivos de configuración XML
![Page 27: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/27.jpg)
Cómo evitara Google
![Page 28: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/28.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-28-
Proteger el servidor web
Bloqueo de buscadores mediante robots.txtUser-agent: googlebotDisallow: /directorio/archivos
No indexar:<META NAME="GOOGLEBOT" CONTENT="NOINDEX,
NOFOLLOW">
No almacenar en caché:<META NAME=“GOOGLEBOT” CONTENT=“NOARCHIVE”><META NAME=“GOOGLEBOT” CONTENT=“NOSNIPPET”>
![Page 29: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/29.jpg)
Aplicaciones de la criptografía Dr. Gonzalo Álvarez Marañón (CSIC)-29-
Eliminación de páginas de Google
Eliminación de la caché de Google desde la página de eliminaciones services.google.com/urlconsole/controller
Dirigirle al archivo robots.txtUtilizar una directiva METAOpción de eliminación de enlaces antiguos
![Page 30: Operadores de Búsqueda avanzados en Google](https://reader036.vdocuments.co/reader036/viewer/2022081506/557b0e57d8b42a7e118b48c0/html5/thumbnails/30.jpg)
Preguntas
http://www.iec.csic.es/~gonzalo/