Faculdade de Imperatriz

Palestra
Prof. Esp. Paulo Henrique S. Barbosa
www.inforedes.eti.br

Faculdade de Imperatriz
Google Hacking
Prof. Esp. Paulo Henrique S. Barbosa
www.inforedes.eti.br

Google Hacking

Google Umas das ferramentas mais fabulosas

que existe.

Esse site de busca to eficiente que eu falo

sempre! "Se no tem no google! no existe#.

$as porque o google to fabuloso%

& google tem um filtro de pesquisa muito

interessante! usado para pesquisas e muito usado
pelos "'ackers# para conseguir informa()es.


Google Hacking

Sim! podemos usar o google para interagir com

*ulnerabilidades.

+e,a abaixo o que poss-*el conseguir usando

essa tcnica.

/onseguir o m0ximo de informa()es sobre um Site.

/onseguir sen'as de sites

1c'ar Sites Vulnerveis a algumas tcnicas

/onseguir Sen'as de ser*i(os e Banco de 2ados de

sites! dentre outras coisas.

Google Hacking

+amos /ome(ar com comandos b0sicos.

Para *er informa()es de um determinado site

digitamos.
3nfo.www.nomedosite.com.br

/om esse comando *emos links que le*am para

esse site e p0ginas semel'antes.

+oc4 tambm pode filtrar apenas o que digitar

usando aspas duplas! *e,a o exemplo.

"site# 5 sendo assim o google mostra apenas

resultados que ten'a exatamente a pala*ra site.

Google Hacking

Primeiros comandos.

Intext:hacker 6 7onde 'acker o texto dese,ado8

5 com esse comando possi*el *isuali9ar todas
paginas que contem o texto 'acker.

Intitle:hacker 5 com esse comando possi*el

*isuali9ar todas as paginas que contem como
titulo a pala*ra 'acker.

Inurl:hacker 5 com esse comando possi*el

*isuali9ar todas as p0ginas que contem na url a
pala*ra 'acker.

Google Hacking

Exemplo! pesquise. Hacker site.br

/om esse comando podemos pesquisar sites

'acker de um determinado pa-s! ou tambm de
um tipo determinado! por exemplo.

site.go* 5 para sites do go*erno.

site.org 6 para sites de institui()es.

site.mil 6 para sites militares e assim por diante! esse

tipo de filtragem muito interessante.

Exemplos.

#tcpip site.com.br# 6 Busca sites .com.br que contm

tcpip.

Google Hacking

Google Hacking

Buscando 1rqui*os.

Sintaxe. :ilet;pe.tipo 7onde tipo o tipo de

arqui*o podendo ser. .doc .rar .,pg .xls .mdb...

Exemplos.

Hacker filet;pe.doc 5 Busca arqui*os com nome

'acker.doc 6 2ocumentos

/urriculo filet;pe.doc 5 Busca arqui*os com nome

curriculo.doc.

Google Hacking

Pegando 2ados Pessoais.

<ambm poss-*el conseguir facilmente dados

pessoais como rg! cpf! conta agencia etc...

Para pegar um cpf basta digital.

/pf=+itor 5 Busca todos *itor e numero de cpf

>esultado.

?0 nas primeiras paginas retornado *arios *itor com

cpf! isso ser*e pra pegar outras info! como rg!
telefone.

Ex. curriculo=cpf=rg=daniela 5 Pronto ,0 temos

muitos dados dessa pessoa...

Google Scanning

Podemos utili9ar o google para fa9er um scanner de

paginas *ulnera*eis a sql in,ection b0sico ou outra
tecnica.

3nurl.admin.asp 5 com esse comando o google mostra

paginas de login criadas em asp! geralmente usando sql
in,ection possi*el in*adir esses sites.

3nurl.@login@index.asp site.go*.br 5 ,0 nesse comando o

google nos tra9 todas paginas do go*erno brasileiro que
ten'a pagina de login em asp.

Basta con'ecer as tcnicas para apAs a busca conseguir

in*adir.

"index of# 5 esse comando retorna paginas que no

ten'am index.

Google Scanning

B.mdb site.com.br Cindex of" 5 1qui buscamos sites

.com.br que no ten'am index e alm disso mostre
arqui*os de banco de dados! isso muito perigoso pois
podemos conseguir dados *aliosos

1lm disso tambm poder-amos especificar o nome do

arqui*o que quer procurar ao in*s de colocar B.mdb que
significa todos mdb! colocamos user.mdb ou algo do
g4nero.

1i basta usar a criati*idade para encontrar paginas!

sen'as! banco de dados etc...

Pode ter certe9a que tem muitos webmasters que deixam

arqui*os com ftp! ss'! sen'as do dom-nio! ,0 encontrei
muito ainda esses dias.

Google Scanning

Cftp.txtC site..com.br Cindex of" 5 o resultado disso so

*0rios sites com arqui*o ftp.txt na qual DEF das *e9es
contem usu0rio e sen'a para conectar ao :<P do site.

1inda podemos usar mais detal'es....

Gog de :<P.

intitle.index.of wsHftp.log

Podemos usar *0rios mtodos de pesquisa. Existem

base de dados que contm *0rios sites ,0 sal*os com
suas *ulnerabilidades. Um exemplo.

Google Hack 2atabase

'ttp.@@,o'nn;.i'ackstuff.com@

Mais exemplos...

Busca por arqui*os de base de dados em sites do

go*erno.

site.go*.br ext.SIG

Busca por um ser*idor espec-fico

inurl.Cpowered b;C site.sistema.com.br

1 pesquisa busca arqui*os de e6mail em

formato .mdb

inurl.e6mail filet;pe.mdb

Essa pesquisa busca telefones dispon-*eis em

intranet encontradas pelo Google

inurl.intranet = intext.CtelefoneC

Mais exemplos...

>eali9ando uma pesquisa dessa maneira

poss-*el identificar muitos dos subdom-nios da
&racle

site.oracle.com 6site.www.oracle.com

2etectando sistemas que usando a porta JEJE

inurl.JEJE 6intext.JEJE

Encontrando +K/

intitle.+K/ inurl.LJEE intitle.+K/

intitle.C+K/ +iewer for ?a*aC

Encontrando Mebcam ati*a

C1cti*e Mebcam PageC inurl.JEJE

Mais exemplos...

+er os arqui*os em cac'e.

cac'e.site.com.br

1rqui*os e Sen'as :<P.

intitle.index.of passwd 6ftp

1plica()es remotas.

ext.rdp

$ais op()es...

intitle.index.of Cparent director;C

intitle.index.of.admin

intitle.index.of inurl.admin

Mais exemplos...

Erros.

intitle.error

&p()es de Gogin e Gogon

login N logon

site.fulano.com username N userid N emplo;ee.32 N

C;our username isC

password N passcode N C;our password isC

admin N login

Mais exemplos...

&p()es de Ser*idores.

C$icrosoft633S@L.E ser*er atC

C1pac'e@O.P.QD Ser*er atC 6intitle.index.of intitle.error

Sen'as.

intext.7password N passcode N pass8 intext.7username N

userid N user8

Site. www.inforedes.eti.br

$ais informa()es e contato.

agentep'Rgmail.com
p'Rinforedes.eti.br