Home > Uncategorized > Usando o Google como ferramenta hacker – Parte 2

Usando o Google como ferramenta hacker – Parte 2

Ataque #4 – Senhas
Muitos servidores mal configurados tornam públicos seus arquivos de registro (“logs”), permitindo assim que usuários maliciosos obtenham senhas de sistemas (muitas vezes com privilégios de administrador) sem trabalho algum, bastando buscar por:

* filetype:log inurl:”password.log”

Ataque #5 – Explorando bancos de dados
Grande parte dos servidores web precisa de serviços de banco de dados instalados, mas muitos não são bem configurados e acabam fornecendo informações sigilosas, como tabelas inteiras, que podem conter até mesmo campos com nome de usuários e senhas válidas dentro do sistema.

A seguinte busca procura por tais tabelas:

* “# dumping data for table” (username|user|users) password

Conhecendo um pouco da estrutura de arquivos de uma base de dados SQL, é possível ir diretamente atrás de arquivos que contenham senhas, como por exemplo através da busca:

* filetype:properties inurl:db intext:password

É possível ainda identificar bancos de dados vulneráveis a ataques de “injeção de SQL”, ao pesquisarmos por mensagens de erro que tipicamente denunciam esse problema:

* “ORA-00921: unexpected end of SQL command”
* “ORA-00933: SQL command not properly ended”
* “unclosed quotation mark before the character string”

Ataque #6 – Explorando relatórios de segurança
Administradores preocupados com a segurança de seus sistemas costumam executar programas específicos que realizam varreduras de segurança e identificam vulnerabilidades em seus servidores.
Procurar por:

* “This file was generated by Nessus”
* “This report lists” “identified by Internet Scanner”

retorna desde páginas exemplo até relatórios reais, que indicam as vulnerabilidades encontradas em determinados servidores, que colocaram os relatórios das ferramentas (como o “nessus” ou o “ISS”, do exemplo acima) em uma área pública.

Ataque #7 – Usando o Google como um web proxy
A possibilidade de se traduzir páginas é um dos grandes atrativos do Google. Através da página http://translate.google.com/translate_t podemos digitar uma URL qualquer e o Google fará a tradução da página de acordo com o idioma desejado. O procedimento é simples: O Google acessa a página, traduz, e retorna ela para você. Na prática, você não fez nenhuma conexão direta à página desejada, e o Google atuou como um web proxy para você. O único problema desse procedimento é que você precisaria traduzir a página desejada de algum idioma para outro, e visualizá-la somente no idioma destino. No entanto, isso pode ser facilmente contornado.

A sintaxe retornada pelo Google para as traduções é no seguinte formato:

* http://translate.google.com/translate?u=PAGINA&langpair=LANG1|LANG2

onde PAGINA é a URL completa desejada, LANG1 é o código para o idioma original da página, e LANG2 é o código para o idioma destino. Manipulando esses valores, podemos colocar o mesmo idioma como origem e destino, e assim ver a página em seu idioma original, utilizando o Google como web proxy.

Para ver o conteúdo da página do GRIS (em português) através do Google, basta digitar:

* http://translate.google.com/translate?u=http://www.gris.dcc.ufrj.br&langpair=pt|pt

Idiomas identificados pelo Google até a data de publicação deste documento são:

* de (alemão)
* es (espanhol)
* fr (francês)
* it (italiano)
* pt (português)
* us (inglês)

Ataque #8 – Fazendo o “googlebot” lançar ataques por você
Como visto no início deste documento, o “googlebot” é o agente responsável pela busca e classificação das páginas dentro de servidores. Pedir ao agente para visitar sua página é um procedimento fácil, e que pode ser feito de muitas maneiras diferentes. Uma vez dentro de sua página, o “googlebot” (e qualquer outro agente de serviços de busca, na verdade) vai registrar e seguir cada um dos links que você incluir dentro da mesma, não importa quais sejam. Um usuário pode, portanto, adicionar links de natureza maliciosa em sua página e apenas esperar os agentes surgirem para fazer o “trabalho sujo” por ele. Os agentes buscadores se encarregarão de executar o ataque e, não bastasse isso, ainda podem colocar os resultados devolvidos pelas vítimas (caso existam) publicamente em suas páginas de busca, para que qualquer um (inclusive o atacante) possa ver. Exemplos links com ataques potenciais incluem:

* http://algumhost/cgi-bin/script.pl?p1=`ataque`
* http://algumhost:54321/ataque?`id`
* http://algumhost/AAAAAAAAAAAAAAAAAAAAAAAAAAAA…

Repare que é possível ainda manipular a sintaxe das URLs para mandar o agente acessar o servidor alvo em portas específicas (na segunda linha de exemplo, mandamos ele acessar a porta 54321).

Existem muitas outras formas de ataque possíveis através de mecanismos de busca. Sabendo o que procurar, é possível utilizar o Google para encontrar informações que vão de dados de um servidor até senhas de banco e números de cartão de crédito.

Categories: Uncategorized Tags: ,
  1. rodrigo
    03/21/2008 at 8:32 AM

    antes de mais nada , eu sempre leio o seu blog é muito legal.
    Porém só queria saber uma coisa. a internet já é uma merda, porque divulgar esse tipo de informação? O que trará de beneficio ?

  2. 03/21/2008 at 8:40 AM

    Olá Rodrigo,

    Muito obrigado por ser leitor assíduo do meu humilde blog.

    Nós ethical hackers e sysadmins precisamos saber como os crackers, lammers e script kiddies agem para que possamos nos proteger.
    O objetivo aqui não é incentivar e sim informar.

    Forte abraço

    Alex

  3. 03/21/2008 at 11:39 AM

    Oi, parabéns… essa série de tutoriais tá show! Entendo o objetivo de divulgar essas informações e aplaudo de pé.

    Vou dá uma sugestão para quando vc terminar a série: wikifique-a =)
    Torne disponível no wiki do ubuntu-br. Deixe que outras pessoas possam contribuir. O benefício será ainda maior.

    Alternativamente vc pode escrever a série como um artigo e mandar para a revista Linux Magazine. Neste link tem instruções de como fazer um artigo e submeter para publicação: http://www.linuxmagazine.com.br/noticia/autores

    [ ]s
    Carlos.

  4. 03/21/2008 at 11:41 AM

    Com certeza, eu também tenho sempre a reocupação do Rodrigo. Fico pensando: mas e até os admins conseguirem fechar essas portas abertas, ele ficam vulneráveis? Por outro lado, se eles não souberem nada a respeito, ficam vulneráveis, talvez ainda mais…

  5. 03/21/2008 at 3:22 PM

    Olá Acris,

    As portas sempre estão e estarão abertas. Muitos de nós instalamos nossos sistemas e não nos preocupamos com a integridade dos nossos dados.
    Outros artigos virão com mais informações sobre ataques e defesas, e espero que sejam bem aproveitadas.

    Sds,

    Alex

  6. Edison
    04/19/2008 at 7:20 PM

    Tenho tido um problema que suspeito que seja esse.
    Ele esta acessando meu site e usando o ip do google. Veja o log abaixo:

    66.249.70.35 supostoinvasor.com Whois /scripts/statres res=wwwroot 04-19-2008 16 14

    Tudo o que acessam no meu site ele acessa junto. Coloquei aquele formulário de busca do google em meu site. Quando alguem procura algo assim:
    &q=carro&sa=Pesquisar&sitesearch=&client=pub-

    ele também procura, da mesma forma que o googlebot faz.

    Será que eles usam aqueles js do código do google para rastrear?

  7. 06/27/2008 at 11:22 AM

    me steven mail kitchen jhon minor clean you red wood night student england

  8. 06/28/2008 at 5:15 PM

    boat yes no keyboard no ibm ugly you we

  9. 07/01/2008 at 10:32 AM

    frog this bag speed greed red free sea england elephant boat mail usa

  10. 07/01/2008 at 10:32 AM

    house juicy bag kitchen free look english boy canada head watch pets cube no boy

  11. 07/23/2008 at 12:12 AM

    tree stay stone frog red dog university ugly woman right car we

  12. 07/25/2008 at 9:03 AM

    red water yes go minor greed stay apple

  13. 08/07/2008 at 7:06 PM

    letter america juicy boy go

  14. 08/07/2008 at 7:06 PM

    frog wood sun jhon keyboard wood red red look

  15. 08/07/2008 at 11:41 PM

    microsoft man all white are watch busy day

  16. dimitrikx
    09/13/2008 at 1:41 AM

    Opa, kara…
    Obrigado pela informação.
    Ja andei estudando como pesquisar no google de uma forma mais rapida.E você me ajudou a complementar.
    valew…

  17. 08/24/2011 at 8:19 AM
  18. 09/03/2011 at 2:47 AM

    I’m not sure nymphets young bbs 389587

  19. 09/04/2011 at 7:41 PM

    I’m on holiday amateur young teen avs

  20. 09/04/2011 at 11:56 PM

    I’m on holiday young bbs photo 8914

  21. 09/07/2011 at 1:09 AM

    Best Site Good Work preteen nude girls
    dal

  22. 09/08/2011 at 3:36 PM

    Punk not dead nn teen models
    106

  23. 09/22/2011 at 6:09 AM

    I’d like to open a personal account Underage Erotica 844581

  24. 09/24/2011 at 2:49 PM

    Hello good day Pthc Loli
    090

  1. 10/05/2008 at 9:28 PM
  2. 03/30/2009 at 11:42 PM

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s

%d bloggers like this: