Průvodce hackováním pomocí Google
Porozumění a ochrana proti průnikům za pomoci Google
Vyhledávač Google (www.google.com) nabízí mnoho různých vlastností, včetně volby
jazyka a překladu dokumentu a umožňuje vyhledávat na webu mj. i obrázky a diskusní skupiny, katalogy a
novinky. Tyto možnosti samozřejmě přinášejí prospěch běžným surfařům, ale jsou
zneužitelné hackery, zloději identity a dokonce i teroristy.
Tento dokument si vzal za cíl seznámit s touto možností
zneužití a ukázat způsoby jak se proti ní bránit.
Google vyhledávací techniky
Webové rozhraní Google
Použití Google je velice snadné. Navzdory jednoduchosti,
je nutné pochopit základní principy vyhledávání, aby bylo možno na tento základ
navázat při vysvětlování pokročilých způsobů použití.
Základem je vyhledání jednoho slova.
1: Hlavní vyhledávací stránka Google
Na obr.1 je vidět slovo "sardine" napsaná do
vyhledávacího okna Google a volby dostupné z Google.com.
Pokud používáte Internet Explorer můžete se stáhnout
toolbar, který vám umožní vyhledávat bez otevření Google, Opera i Mozilla to
umožňují automaticky. Toolbar ovšem neumožňuje používání pokročilých operátorů.
"Web, Obrazy, Skupiny, Adresáře, Zprávy"
(web, images, groups, directory, news) tyto záložky umožňují prohledávat
konkrétní typ souborů.
Ve všech záložkách se vyhledává shodně – zadáním klíčového slova.
"Vyhledat Googlem" (Google Search)
po stisku tohoto tlačítka začne vyhledávání. Stejně
funguje i Enter.
Zkusím štěstí (I’m Feeling Lucky“)
po stisku tohoto tlačítka Google vyhledá výsledky, a na
první místo posune stránky, kde se slovo objevuje nejčastěji.
"Pokročilé vyhledávání" “Advanced Search”
po stisku této volby se vám otevře strana viz.obr 2. (i
v češtině) kde si můžete přesněji specifikovat požadované hledání. Většina
hledání pomocí operátorů lze nahradit tímto způsobem.
"Nastavení" “Preferences”
zde si můžete upravit vzhled výsledků hledání (nastavení
se ukládá do cookies) včetně jazyků, filtrů, množství výsledků za stránce a
okna volby.
"Výběr jazyka" umožňuje volbu jazyka a překlady mezi jazyky.
Obr. 2: Pokročilé vyhledávání
Zadali jsme tedy „sardine“ do vyhledávací okna a stiskli „vyhledat Googlem“ výsledek je vidět na obr.3.
obr 3: výsledek hledání Googlu
Stránka výsledek hledání se skládá s několika částí:
Horní lišta – pod záložkami – obsahuje
hledané slovo, počet zobrazených a nalezených stránek a doba jakou hledání trvalo.
Kategorie – Stránky jsou v Googlu mj.
organizované i v adresářích – zde se zobrazuje v jakém adresáři je
nalezený odkaz zařazen.
Adresa úvodní(hlavní stránky) – podržený odkaz
popis- krátký popis stránky
cache- zde je uložená starší verze stránky.
podobné stránky - podobné stránky založené na Google kategorii
sponzorované odkazy – sloupec s reklamami, které mají souvislost s hledaným slovem.
Pokud Google nic nenalezlo, nebo je chyba v syntaxi
operátoru objeví se chybové stránky obr.4 a obr. 5.
obr.4. nic se nenašlo
obr. 5. někde je chyba
Rozšířené možnosti vyhledávání
jak bylo uvedeno výše Google vyhledává jedno nebo více bez jakéhokoli znaků nebo použití
zvláštních klíčových slov. Např: peanut butter, butter peanut, olive oil a pod
operátor +
pokud do Google zadáte více slov Google
automaticky hledá každé slovo jakoby byl použit booleovský operátor
"AND". Operátor + se obvykle používá právě jako "AND".
Použití + je proto zbytečné. Pokud při hledání v Googlu zadáme velmi běžné
slovo jako je "the" "how" bude toto slovo z hledání
vyřazeno. Pokud tedy chceme, aby se hledalo i toto slovo musíme použít operátor
+. Mezi + a hledaným termínem nesmí být mezera "+the wood", operátor
+ lze použít s níže uvedenými pokročilými operátory.
Figura 6: Hlášení Googlu o odstranění běžného slova
operátor -
vyřazuje slovo z dotazu. Hledá se tedy vše co obsahuje hledaná slova, ale neobsahuje slovo po operátoru -.
Mezi - a hledaným termínem nesmí být mezera "watter -sweet", operátor - lze použít s níže uvedenými
pokročilými operátory.
hledání fráze
pokud chceme hledat přesnou frázi, uzavřeme jí do uvozovek. "microsoft office".
Operátory lze libovolně kombinovat např. macintosh
"microsoft office".
Google pokročilí operátoři
Použití pokročilých operátorů v Googlu
V následujícím textu je abecední seznam operátorů. Tento
seznam zahrnuje i operátory, které nejsou dokumentované v online nápovědě
Googlu.
U každého operátoru je uvedena syntaxe, vlastnosti a vzor
použití. Některé operátory nepracují, pokud je mezera mezi operátorem,
dvojtečkou a slovem. Je proto vhodné mezeru nepoužívat.
| pokročilé hledání Google | operátor |
| soubor určitého typu | - filetype: |
| umístění – v titulku stránky | - allintitle: |
| v textu na stránce | - allintext: |
| v URL stránky | - allinurl: |
| v odkazu na stránce | - allinanchor: |
| doména | - site: |
| podobné | - related: |
| odkaz | - link: |
allinanchor:
Pokud v dotazu použijete operátor allinanchor: Google
omezí hledání na stránky obsahující hledané termíny v textu odkazů uvedených na
stránce.
Např.: [allinanchor:best museum sydney] vyhledá stránky
obsahující v komentářích odkazů slova "best", "museum" a
"sydney". Komentář odkazu je text, po odkliknutí kterého se
dostanete na požadovanou stránku. <a>komentář odkazu</a>
allintext:
Pokud v dotazu použijete operátor allintext: Google omezí
hledání na stránky, které obsahují uvedený termín v textu stránky.
Např.:[allintext:travel packing list] vyhledá pouze
stránky, kde jsou uvedená slova v textu.
allintitle:
Pokud v dotazu použijete operátor allintitle: Google omezí hledání na stránky, které obsahují hledaný termín v titulku stránky.
Např.:[allintitle:Google help] nalezne dokumenty které
obsahují "google" a "help" v titulku stránky
<title>...</title>
Při hledání obrázků operátor allintitle: nalezne obrázky
jejichž jména obsahují hledané termíny.
Při hledání News operátor allintitle: nalezne ty články
jejichž název obsahuje hledané termíny.
allinurl:
Pokud použijete operátor allinurl: Google omezí hledání
na stránky, které obsahují hledané termínu v URL stránky.
Např.: [ allinurl:Google faq ] nalezne stránky obsahující
v adrese stránky "google" a "faq".
V URL jsou slova často psána dohromady, což může
způsobovat problémy allinurl:googlefaq nalezne něco jiného než allinurl:google
faq.
Při hledání News operátor allinurl: funguje podobně jako
allintitle:
author:
Jestliže použijete operátor author: hledání v Google
Groups se omezí na články, které napsal uvedený autor.
Autor může být plné nebo částečné jméno nebo emailová
adresa.
Např:[children author:John author:Doe ] nebo [http://groups.google.com/groups?q=children+author:doe@adresa.com ]
nalezne články, které obsahují slovo
"children" napsané Joe Doem nebo doe@adresa.com.
Google hledá přesně napsaný tvar, pokud dotaz je [author:"John Doe" ], Google nenalezne články podepsané "Doe John."
bphonebook:
Jestliže použijete operátor bphonebook: Google bude
hledat v obchodních "bílých" stránkách.
Např:[bphonebook:Google mountain view]
cache:
Jestliže použijete operátor cache:"url" Google
nalezne verzi stránky uložené ve své paměti.
Např.: [ cache:www.eff.org ] nalezne uloženou verzi
Electronic Frontier Foundation.
POZN: Mezi cache: a URL (adresa stránky) nesmí být
mezera.
Pokud za adresu stránky napíšete některá slova, budou na
nalezené stránce zvýrazněny.
Např.: [cache:www.pandemonia.com/flying/ fly diary]
zvýrazní slova "fly" a "diary"
define:
Pokud použijete operátor define: Google nalezne definici
zadaného termínu. Vhodné pro hledání významu slov, frází a akronym.
Např.: [ define:blog ] nalezne definici "Blog"
(weB LOG).
ext:
Nedokumentovaná varianta pro filetyp:
filetype:
Pokud použijete operátor filetype:"přípona",
Google omezí hledání na dokumenty stanoveného typu.
Např.: [ wordlist filetype:txt] nalezne wordlisty
(seznamy hesel) ve formátu *.txt.
Operátor lze kombinovat např. [wordlist filetype:txt OR
filetype:doc].
Pokud typ dokumentu nestanovíte Google hledá vše.
Adobe Portable Document Format (pdf)
Adobe PostScript (ps)
Lotus 1-2-3 (wk1, wk2, wk3, wk4, wk5, wki, wks, wku)
Lotus WordPro (lwp)
MacWrite (mw)
Microsoft Excel (xls)
Microsoft PowerPoint (ppt)
Microsoft Word (doc)
Microsoft Works (wks, wps, wdb)
Microsoft Write (wri)
Rich Text Format (rtf)
Text (ans, txt)
group:
Pokud použijete operátor group: omezí Google hledání
na Google Groups dle stanoveného slova.
Např.: [sleep groups:misc.kids.moderated] nalezne články obsahující "sleep"
v skupině "misc.kids.moderated"
id:
Nedokumentovaná varianta pro info:.
inanchor:
Pokud použijete operátor inanchor: Google omezí hledání
na slova v komentářích odkazů. Hledá pouze 1 slovo uvedené za dvojtečkou.
Možno kombinovat s jinými operátory.
Např.: [ restaurace inanchor:gurmán ] nalezne stránky
obsahující slovo "gurmán" v
komentáři odkazu a současně slovo "restaurace"
info:
Pokud použijete operátor info: naleznete formace o zadané
stránce.
Např.:[ info:gothotel.com ] nalezne informace o home page
GotHotel.com.
POZN:mezi info: a adresou nesmí být mezera.
Stejně funguje, pokud napíšete URL stránky do
vyhledávacího okna Googlu.
insubject:
Pokud použijete operátor insubject: Google omezí hledání
na články v Google Groups, které mají zadané slovo v předmětu.
Např: [ insubject:sleep ] nalezne v Google Groups články
s "sleep" v předmětu.
Ekvivalent intitle:.
intext:
Pokud použijete operátor intext: hledání se omezí na text
stránky.
Lze kombinovat s jinými operátory.
Např.: [Hamish Reid intext:pandemonia] nalezne
dokumenty se slovem "pandemonia" v textu a se slovy
"Hamish" "Reid" někde v dokumentu.
POZN: Mezi intext: a slovem nesmí být mezera.
Pokud dáte intext: za každé slovo, funguje tento operátor
jako allintext: [intext:black intext:book]= [ allintext:black book].
intitle:
Pokud použijete operátor intitle: omezí se hledání na
slova v titulku stránky.
Např: [chřipka intitle:léčení ] nalezne dokumenty, kde je
v titulku "léčení" a slovo chřipka někde na stránce.
Pozn: Mezi intitle: a slovem nesmí být mezera.
Pokud použijete intitle: za každým slovem funguje tento
operátor jako allintitle:
inurl:
Pokud použijete operátor inurl: omezí se hledání na slova v URL stránky.
Např.: [ inurl:healthy eating] najde stránky s
"healthy" v adrese stránky a s "eating" kdekoli.
Pozn: mezi inurl: a slovem nesmí být mezera.
Pokud použijete inurl: za každým slovem funguje tento
operátor jako allinurl:
link:
Pokud použijete operátor link: vyhledají se stránky,
které se odkazují na uvedenou URL.
Např.[link:www.googleguide.com ] najde stránky
odkazující se na googleguide.
location:
Pokud použijete operátor location: omezíte hledání na
určitou doménu.
Např: [queen location:uk] bude hledat slovo
"queen" na doméně uk (Spojeném království).
msgid:
Pokud použijete operátor msgid: bude se v Google Groups hledat zpráva s defonovavým ID
Např: [http://groups.google.com/groups?q=msgid:<hamishxyz-B270D1.09001126112003@news.supernews.com>
nalezne článek jehož ID je hamishxyz-B270D1.09001126112003@news.supernews.com
phonebook:
Pokud použijete operátor phonebook: Google nalezne zadané jméno v telefonním seznamu.
Např: [phonebook:
Krispy Kreme Mountain View ] nalezne Krispy Kreme donuts v Mountain
View.
related:
Pokud použijete operátor related: Google bude hledat
stránky, které jsou podobné jako je zadaná stránka.
Např: [related:www.seznam.cz] nalezne stránky podobné seznam.cz.
Pozn. mezi related: a URL nesmí být mezera.
Stejnou funkci má i "podobné" na stránce výsledků hledání.
rphonebook:
Pokud použijete operátor rphonebook: bude Google hledat v
domovním seznamu.
Např: [ rphonebook: monty python Oakland ] nalezne telefonní
seznam pro Monty Python v Oaklandu
site:
Pokud použijete operátor site: hledání se omezí na
specifikovanou oblast.
Např: [peace site:gov ] bude hledat slovo
"peace" na doméně gov.
Doménu můžete uvádět s tečkou i bez tečky (.gov = gov).
Pozn: mezi site: a oblastí nesmí být mezera.
S operátorem site: můžete používat i další operátory jako
je +, -, OR, " ."
Např: hledáme windows security, ale chceme vyloučit
hledání na Microsoft.com, [windows
security -site:microsoft.com]
source:
Pokud použijete operátor source: hledání v Google News se
omezí na články s uvedeným ID.
Např: [ election source:new_york_times ] nalezne slovo
"election" které se objevilo v New York Times.
stocks:
Pokud použijete operátor stocks: Google bude považovat
slovo za dvojtečkou za burzovní symbol a bude vyhledávat burzovní informace.
Např: [ stocks:brcm brcd ] najde informace o Broadcom
Corporation a Brocade Communications.
Pozn: Burzovní symbol není obvykle shodný s názvem firmy.
Pokud zadáte neplatný symbol bude přesměrováni na stránku se seznamem
burzovních symbolů.
store:
Pokud použijete operátor store: bude Froogle hledat
uvedené zboží na skladech s definovaným ID.
Např: [ polo shirt store:llbean ] bude hledat slova
"polo" a "shirt" ze skladu L. L. Bean.
Následující seznam ukazuje operátory podle způsobu použití:
hledání na webu:
allinanchor:, allintext:, allintitle:, allinurl:,
bphonebook:, cache:, ext:, define:, filetype:, id:, inanchor:, info:, intext:,
intitle:, inurl:, link:, phonebook:, related:, rphonebook:, site:, stocks:
hledání obrázků:
allintitle:, allinurl:, filetype:, inurl:, intitle:,
site:
hledání skupin:
allintext:, allintitle:, author:, group:, insubject:,
intext:, intitle:, msgid:
hledání adresářů:
allintext:, allintitle:, allinurl:, ext:, filetype:,
intext:, intitle:, inurl:
hledání News
allintext:, allintitle:, allinurl:, intext:, intitle:,
inurl:, location:, source:
Froogle
allintext:, allintitle:, store:
Používání více pokročilých operátorů:
Některé operátory nemohou být kombinovány s jinými:
jsou to všechny operátory začínající "allin" tzn. allinanchor:, allintext:, allintitle:, allinurl:
operátory provádějící specifické hledání: define:, phonebook, bphonebook, rphonebook, stocks:.
operátory vyžadující zadání URL stránky:cache:, info:, related
Při používání kombinací více operátorů je nutno dávat
pozor, aby se výsledky hledání navzájem nevylučovaly:
Např: [admission site:stanford.edu -inurl:stanford ]
hledá pouze na doméně stanford.edu ale v URL nesmí být slovo
"stanford", což nedává smysl.
Tvar URL Google
Pokročilý uživatel Google často rychleji změní proces
hledání pomocí toolbaru Google (zde nebylo zmíněno) nebo změnou URL Googlu.
Podívejte se na URL vygenerované při hledání „sardine“:
http://www.google.com/search?hl=en&ie=UTF-8&oe=UTF-8&q=sardine
Zaprvé si všimněte základního tvaru URL pro Google
hledání "http://www.google.com/search". Otazník označuje konec URL a
začátku argumentů k hledání.
"&" symbol odděluje argumenty.
Argumenty k hledání jsou popsány v
http://www.google.com/apis.
Argumenty k výše uvedenému URL :
hl: jazyk výsledků, v tomto případu "en" -
angličtina.
ie: vstupní kódování formátu vstupních. V tomto případu
"UTF-8".
oe: výstupní kódování formát výstupních dat. V tomto
případu "UTF-8".
q: Otázka. Zadání hledaného slova. V tomto případu "sardinka".
Většina argumentů v URL může být vynechaná, např. toto URL lze zkrátit na:
http://www.google.com/search?q=sardine
V URL lze použít všechny pokročilé operátory.
http://www.google.com/search?q=sardine+peanut+butter
URL Googlu lze předávat a odkazovat se tak přímo na
hledání Googlem.
Pro Google (a mnoho jiných internetový programů) se musí
některé zvláštní znaky převádět na hexadecimální číslo uvedené procentem (%).
Např: " the quick brown fox" (hledá se fráze,
uzavřená uvozovkami) je převedena na http://www.google.com/search?&q=%22the+quick+brown+fox%22
V tomto příkladě jsou dvojité uvozovky zobrazené jako
"%22" a mezery jsou nahrazeny plusem (+).
Běžná slova jsou vyhledávána pokud jsou
v uvozovkách.
Hacking pomocí Google
Hledání v určité doméně pomocí site:
Operátor site: omezí hledání pouze na zadanou doménu
site:gov secret
Dotaz nalezne všechna slova „secret“ která obsahuje doména gov.
Google čte adresu „odzadu“ - dotaz může mít tedy tvar
site:www.cia.gov
site:cia.gov
site:gov
Alespoň jeden výraz v operátoru site: musí být doména
site:www.cia
site:www
toto hledání by nemělo poskytnout žádný výsledek „cia“ ani „www“ nejsou domény, ale kupodivu cosi se nalezne více v ;googleturds.
Praktické použití
Novináři obvykle mohou užívat tuto techniku
k nalezení zajímavé „ špíny' na webech vlastněnými vládou nebo nevládními
organizacemi.
Hackeři tuto techniku budou používat k hledání cílů, mohou se zaměřit na konkrétní země nebo typy organizací.
Nalezení' googleturds' použitím operátoru site:
Googleturds, jak jsem je nazval jsou zbytky, které se
nacházejí v „koši“ Googlu.
Po zadání dotazu site:csc
site:microsoft
Žádný z těchto dotazů nemá správnou syntaxi a neměl by tedy
poskytnout žádný výsledek. Kupodivu cosi se nalezne viz obr.7
obr. 7: příklad Googleturd
Pravděpodobně se jedná o výsledky chyb při zařazování
webových stránek.
Jak tuto techniku použít
Hackeři se můžou tímto způsobem dostat k odkazům a
následně i citlivým datům, která neměla být přístupná na
internetu.“standardním“ operátorem site:
Mapa stránek: více o operátoru site:
mapování obsahu webu Googlem je jednoduché.
Použijte následující dotaz site:microsoft.com microsoft
Tento dotaz bude hledat slovo „microsoft“ na doméně
microsoft.com. Kolik stránek na webu microsoft bude obsahovat slovo microsoft?
Všechny. Pokud není zadáno jinak Google hledá slovo nejen v textu, ale i v titulu a
URL stránky. A microsoft se 100% objeví v každém URL domény microsoft.com.
Jediným dotazem tedy získáte představu o všech stránkách
na doméně microsoft.com.
Existuje ovšem jedna výjimka doména microsoft může být
v adrese nahrazen IP adresou. V tomto případě Google tyto stránky
nenalezne. Není ovšem nic snadnějšího dotaz zopakovat a Microsoft nahradit “IP
adresa“.
Je ovšem ještě jedna možnost, která tento problém řeší
dotaz může být pouze site:microsoft.
Tato technika je jednodušší, ale nejsem si jistý jestli
tato metoda ve vyhledávání Google zůstane.
Google nalezne všechny stránky, které mají link na webu,
nikoli všechny stránky hostované na dané doméně.
Jak tuto technika použít
tato technika umožňuje udělat si představu o stránkách,
aniž by bylo nutné tyto stránky navštěvovat.
Google indexuje veškerý obsah, který prohlíží a tím
umožňuje případnému útočníkovi nalézt slabá místa.
Nalezení výpisu adresáře
výpis adresáře zobrazuje místo obvyklé grafiky a textu
v internetovém prohlížeči seznam souborů a adresářů umístěných na daném
webu.
obr.8: Typický výpis adresáře
Někdy se tento výpis zobrazuje záměrně, s umyslem
dovolit návštěvníkům prohlížet a stahovat soubory adresářů. často se ovšem
jedná o neúmyslnou chybu, web je buď špatně nakonfigurován, nebo na něm chybí
index, případně je dočasně nastaven jako paměť pro soubory.
Jakkoli je to výborná možnost získat něco zajímavého
z tohoto adresáře.
Získání výpisu adresáře Googlem je velice snadné. Jak
ukazuje obr.8 většina adresářu začíná frází „index.of“ která se zobrazuje
v titulku stránky. Zkusíme tedy zadat dotaz intitle:intitle.of kdy se bude
hledat slovo „index.of“ v titulku stránky. Bohužel tečka (.) je jeden ze
zástupných znaků Googlu a tento dotaz vrátí mnoho odpovědí ze serverů
Index of Native American
Resources on the Internet
LibDex - Worldwide index of
library catalogues
Iowa State Entomology Index of
Internet Resources
což není to co hledáme.
Lepší výsledky poskytují dotazy kam přidáme několik dalších slov
intitle:index.of "parent directory
intitle:index.of name size
Jak tuto techniku použít
mnoho výpisů adresářu je zcela úmyslných, ale i tak
umožňuje nalezení výpisu adresáře získat cenné informace. Pomocí výpisu se
dostanete na místa a získáte informace, které nejsou přístupné „řízeným“
surfování obsahem stránek.
Výpis adresáře obsahuje také další užitečné informace,
použití kterých si vysvětlíme níže.
Získávání druhu obslužného software serveru a verze
- přes výpis adresáře
-
přesná verze software obsluhujícího web je jedna z informací, kterou útočník
potřebuje před započetím útoku proti webovému serveru.
Pokud se k webu připojíte přímo přes http, záhlaví
webu vám tyto informace pravděpodobně poskytne.
Je ovšem možné tyto informace získat nepřímo za pomocí
Google, před vlastním útokem.
Jedna z metod je použití informací z výpisu
adresáře.
obr.9: Výpis adresáře "server.at"
obr 9 ukazuje typický výpis adresáře, všimněte si
řádku dole. Výpis adresáře obsahuje jméno a verzi obslužného software serveru.
Odborník může tuto informaci fingovat, ale většinou je
tato informace správná a umožňuje útočníkovi upřesnit útok.
Tento výpis získáte dotazem:
intitle:index.of server.at
Tento dotaz nalezne “index.of" v titulku stránky a
server.at kdekoli na straně.
Tento dotaz můžeme ještě zpřesnit zaměřením na konkrétní
doménu
intitle:index.of server.at site:aol.com
Můžeme také hledat servery běžící na konkrétním typu
serveru
intitle:index.of "Apache/1.3.0 Server at"
Tento dotaz nalezne servery s povoleným výpisem na
kterých běží Apache/1.3.0.
Jak může být tato technika použita
Tato technika je poněkud omezená skutečností, že cíl musí
mít nejméně jednou stranu, které poskytne výpis adresáře a tento výpis musí obsahovat verzi serveru.
Pokud je administrátor zkušený, výpis bude bez označení
serveru.
Zkušený hacker porovná formát výpisu, hlavičky pozná typ serveru.
Problém této techniky je také, že mnoho serverů používá
programy, které mění tvar výpisu serveru, pokud vůbec výpis umožní. Software běžící na serveru lze poznat
ze zdroje stránky (Zobrazit/ zdrojový kód).
Nehledě na tyto skutečnosti je tato technika použitelná
na vyhledávání potencionálních cílů. Pokud umíte atakovat např. Apache 1.3.0,
může pomocí dotazu ‘intitle:index.of "Apache/1.3.0 Server at najít vhodný cíl svého útoku.
- přes standardní stránky
verzi serveru lze určit také podle úvodní stránky.
Příklad úvodní stránky pro Apache 1.2.6 je na obr. 10.
Tyto stránky mohou ulehčit identifikaci verze programu
běžícího na webu.
Pomocí této stránky
si také administrátor může ověřit, zda web správně pracuje. Některé operační
systémy mají server již nainstalovaný předem, a někteří z jejich uživatelů
ani neví, že jim v počítači tento program běží.
Tato skutečnost a fakt, že v tomto případě není
server zajištěn z něj dělá snadný cíl.
Jak tuto techniku použít
intitle:Test.Page.for.Apache it.worked!
zjistíme kde běží Apache 1.2.6 se standardní úvodní stránkou.
V tabulce jsou tvary dotazů, pro další verze Apache serverů.
| Apache server verze | dotaz |
| Apache 1.3.0 – 1.3.9 | Intitle:Test.Page.for.Apache It.worked! this.web.site! |
| Apache 1.3.11 – 1.3.26 | Intitle:Test.Page.for.Apache seeing.this.instead |
| Apache 2.0 | Intitle:Simple.page.for.Apache Apache.Hook.Functions |
| Apache SSL/TLS | Intitle:test.page "Hey, it worked !" "SSL/TLS-aware |
Microsoft’s Internet Information Services (IIS)
posílá také standardní stránku viz obr. 11
Dotazy pro verze jednotlivých serverů:
| IIS Server verze | dotaz |
| Many | intitle:welcome.to intitle:internet IIS |
| Unknown | intitle:"Under construction" "does not currently have" |
| IIS 4.0 | intitle:welcome.to.IIS.4.0 |
| IIS 4.0 | allintitle:Welcome to Windows NT 4.0 Option Pack |
| IIS 4.0 | allintitle:Welcome to Internet Information Server |
| IIS 5.0 | allintitle:Welcome to Windows 2000 Internet Services |
| IIS 6.0 | allintitle:Welcome to Windows XP Server Internet Services |
V případě serverů založených na Microsoftu, lze zjistit
nejen server, ale i operační systém. Tyto informace jsou pro potencionálního
útočníka neocenitelné.
Také Netscape servery, poskytují standardní stránku dle obr. 12.
| Netscape Server verze | dotaz |
| Many | allintitle:Netscape Enterprise Server Home Page |
| Unknown | allintitle:Netscape FastTrack Server Home Page |
Dotazy pro některé exotické servery.
| Server / verze | dotaz |
| Jigsaw / 2.2.3 | intitle:"jigsaw overview" "this is your" |
| Jigsaw / Many | intitle:”jigsaw overview” |
| iPlanet / Many | intitle:"web server, enterprise edition" |
| Resin / Many | allintitle:Resin Default Home Page |
| Resin / Enterprise | allintitle:Resin-Enterprise Default Home Page |
| JWS / 1.0.3 – 2.0 | allintitle:default home page java web server |
| J2EE / Many | intitle:"default j2ee home page" |
| KFSensor | honeypot "KF Web Server Home Page" |
| Kwiki | "Congratulations! You've created a new Kwiki website." |
| Matrix Appliance | "Welcome to your domain web page" matrix |
| HP appliance sa1* | intitle:"default domain page"
"congratulations" "hp web" |
| Intel Netstructure | "congratulations on choosing" intel netstructure |
| Generic Appliance | "default web page" congratulations "hosting appliance" |
| Debian Apache | intitle:"Welcome to Your New Home Page!" debian |
| Webserver 200 | "micro webserver home page" |
- přes příručky, pomocné stránky a vzorové programy
další metoda jak zjistit verzi serveru je hledání
manuálů, help a vzorových programů, který jsou na serveru standardně
nainstalovány. Mnoho webových serverů instalují manuály a vzorové programy na
standardní místa.
Mnoho správců tyto programy buď odstraňuje nebo přesouvá,
ale pro identifikaci serveru stačí pouze existence programu nebo manuálu na
serveru.
Jak tuto technika použít
kromě určení serveru, lze tímto způsobem odhalit i zranitelná místa serveru.
Příklad:
inurl:manuál apache directives modules
Tento dotaz nalezne manuál pro server Apache, který patří
ke standardně nainstalovaným souborů tohoto serveru.
Různé verze serveru mají i rozdílné verze manuálu. Jak je
vidět na obr. 13, verze serveru je uvedena nahoře na stránce manuálu, tato
verze se ovšem může lišit, pokud byl server aktualizován.
Microsoft IIS často obsahuje příručku (označovanou „help
pages“) s různými verzemi webového serveru. Jeden způsob jak tuto standardní
stránku najít je dotaz
allinurl:iishelp core
Mnoho verzí IIS umožňuje nainstalovat další programy, které se nainstalují do adresáře ' iissamples,'
který můžeme nalézt dotazem
inurl:iissamples
Na jméno konkrétního programu se zeptáme dotazem
inurl:iissamples advquery.asp
Používání Google jako CGI scaneru
' CGI scaner' nebo' web scaner' je jedním
z důležitých programů pro hacking serverů.
Vyhledává zranitelné programy serveru které lze použít
k průniku.
Tyto programy jsou účinné a přesné nástroje. Podobnou
činnost lze provádět o pomocí Google.
Samozřejmě musíme vědět po jakém souboru na serveru pátráme. Ve většině případů se hledají
zranitelné soubory nebo adresáře, které tyto soubory, nebo kódy obsahují.
Jedním způsobem je hledat tyto soubory:
/cgi-bin/cgiemail/uargg.txt
/random_banner/index.cgi
/random_banner/index.cgi
/cgi-bin/mailview.cgi
/cgi-bin/maillist.cgi
/cgi-bin/userreg.cgi
/iissamples/ISSamples/SQLQHit.asp
/iissamples/ISSamples/SQLQHit.asp
/SiteServer/admin/findvserver.asp
/scripts/cphost.dll
/cgi-bin/finger.cgi
Jak tuto techniku použít
Zranitelné soubory vyhledáváme buď v index of nebo dotazem inurl:
Například dotaz allinurl:/random_banner/index.cgi' vrátí výsledky dle obr.15.
Hacker potom za použití technik může najít z tohoto
souboru i hesla pro server dle obr.16
Toto je jedna z technik, které by bylo ideální
automatizovat. Užitečnost Google CGI scaneru je značná a tak j0hnny napsal
program Gooscan, tento program si vysvětlíme později.
Použití Google k vyhledávání zajímavých souborů a adresářů
Google lze použít i k hledání citlivých dat, které
lidi nepochopitelně umisťují na přístupná místa.
Samozřejmě, že tyto informace obsahuje malé procento
stránek, ale lze je získat rychle, tiše a bez zanechání stop.
Jak tuto techniku použít
Tuto techniku je obtížné popsat, protože je závislá na
představivosti a štěstí. Většina citlivých souborů je vázána na několik
„klíčových“ slov a frází.
Mnoho lidí má důležitá data uložena v adresáři backup. Dotazem
inurl:backup, nalezneme tyto adresáře. Hledání můžeme zpřesnit např.
inurl:backup intitle:index.of inurl:admin”.
Dotaz - inurl:admin
vyhledá často administrátorský adresář, který může obsahovat např. hesla.
“inurl:admin intitle:login” nalezne právě tyto hesla.
“inurl:admin filetype:xls” nalezne tabulky, kam si admini občas ukládají hesla, nejčastěji
budete mít úspěch u vzdělávacích institucí.
inurl:admin inurl:userlist” – tento dotaz
bude vyhledávat seznamy uživatelů. Tyto seznamy mohou obsahovat další zajímavé
informace.
inurl:admin filetype:asp inurl:userlist” - nalezne podobný seznam, ale v souborech *.asp, které obvykle
nevyžadují legalizaci.
Automatické vyhledávání pomocí Google
pokud existuje mnoho možných kombinací, bylo by ideální používat nějaké automatické prohledávání.
Google tuto možnost řeší v http://www.google.com/terms_of_service.html:
"Nesmíte používat automatické vyhledávání, bez toho aniž byste měli povolení od Google. Všimněte si,
jak je definované "automatické vyhledávání":
- používání jakéhokoliv software, který posílá do Google dotazy
- "metavyhledání" Google
- offline vyhledávání v Google
Google nabízí k tomuto vyhledávání alternativu - Google Web API – více na http://www.google.com/apis/.
Google API má v době napsání této příručky několik chyb:
- uživatelé a vývojáři Google API programů musí získat licenci.
- API je omezeno na 1,000 dotazy denně.
Jak bylo uvedeno výše, při používání automatických dotazů
je nutno vyžádat si souhlas Google. Pravděpodobně to není příliš kontrolované,
takže občasné a krátkodobé použití automatu by nemuselo vyvolat problémy.
Google Appliances
Google Appliances je popsán na http://www.google.com/appliance/,
je to způsob, jak prohledává lokální sítě a intranet.
Pokud použijete Appliances dotaz ve standardním Googlu, nebude pracovat. Dodatečné parametry jsou typické
pouze pro Google Appliances a jsou zadávány ručně.
Např. budeme pátrat po "Steve Hansen" na Google Appliances ve Stanfordu.
Dotaz je rozdělen na části pro lepší čitelnost, v reálu se vše píše dohromady-
http://find.stanford.edu/search?q=steve+hansen
&site=stanford&client=stanford&proxystylesheet=stanford
&output=xml_no_dtd&as_dt=i&as_sitesearch=
V první části najde Google Appliances stanford.edu a
"steve hansen" nebo "steve+hansen"
dodatečné parametry:
&site=stanford&client=stanford&proxystylesheet=stanford
&output=xml_no_dtd&as_dt=i&as_sitesearch=
se mohou lišit aplikace od aplikace.
Googledorks
termín "googledork" vytvořil Johnny Long (http://johnny.ihackstuff.com) a
původně označovala " hloupou nebo pošetilou osobu, odhalenou
Googlem".
Po převzatí tohoto termínu medii označuje ty „ kteří ukazují na Internetu pro důvěrné informace".
Oficiální googledorks strana (http://johnny.ihackstuff.com/googledorks)
ukazuje seznam mnoha příkladů neuvěřitelných věcí, které se našly na Internetu
pomocí Googlu. U každého případu je informace, kde a jak byla informace
nalezena.
Gooscan
Gooscan (http://johnny.ihackstuff.com) je UNIXový program (Linux/BSD/MAC OS X), který automatizuje
vyhledávání na Google. Dotazy jsou postaveny tak, aby zjistili potenciální zranitelnost web stránky.
Cgi scaner nekomunikuje přímo se serverem, ale používá Google.
Gooscan není psáno jako aplikace pro Google API, což vyvolává otázky o "legálnosti" používání
Gooscanu.
Gooscan by neměl být používán bez povolení Google.
GooPot
Účel Goopotu je velmi jednoduchý. Podle techtarget.com je to “past na osoby pokoušející se proniknout na cizí
počítač”
Za tímto účelem se udržuje monitoring systému, který
rozdělí a katalogizuje každý útok, který vypadá jako jedinečný, včetně stránek
ze kterých útočník přišel a na které odchází.
Jako lákadlo k útoku se používají techniky uvedené
v googledorks.
Několik slov o tom jak Google hledá nové stránky (Opera)
Ačkoli je indexování pomocí robotů velmi účinné hledá Google i jiné způsoby, jak se dozvědět o nových
web stránkách.
Jedním způsobem je využití reklamy ve volné verzi Opery.
Když zadá uživatel nějakou adresu do Opery, je URL posláno do Opery.
Pokud se to do doby vydání tohoto článku nezměnilo, hrozí
že budou naindexovány i soukromé adresy.
Tato vlastnost může být vypnuta v menu "soubory
-> předvolby ->reklamní okénko, nebo zaregistrováním.
Ochrana před Google hackery
Citlivá data mějte na místě v počítači odkud není přístup na Internet, v žádném případě ne
na webu.
- I když se domníváte, že umístění na
webu je dočasné, je tu možnost, že na ně zapomenete, nebo je mezitím někdo
nalezne. používejte důsledné kódování dat a mailů.
- Googledork – za pomoci informací
v tomto článku, zkontrolujte a vyhledejte citlivé informace a zranitelné
soubory na vašem webu.
- Použijte gooscan a pečlivě
prohledejte vaše stánky (nejprve si ale vyžádejte svolení od Googlu, aby
nedošlo k porušení podmínek.
- Sledujte novinky na http://johnny.ihackstuff.com
- Uvažujte o odstranění vašich stránek z Google indexu. Toto možnost nabízí Google přímo na svých stránkách http://www.google.com/webmasters/.
Přesný postup je popsán na http://www.google.com/remove.html.
- Používejte soubor robot.txt. Aby nedošlo k opětovnému zaindexování stánek musí se
zakázat indexovací roboti. Standardní postup je na
http://www.robotstxt.org/wc/norobots.html.
Tento postup „zdvořile“ požádá robota, aby ignoroval
celou nebo část vašich stránek.
To je zatím vše ZPĚT