Direkt zum Hauptbereich

Google hacking die zweite !

Nun der erste Beitrag zum Google hacking war wohl etwas zu oberflächlich gehalten. Dieser Beitrag ist für Administratoren und Netzwerkverantwortliche gedacht damit man seine Netzwerke absichern und aber auch sein eigenes Netzwerk testen kann.

Google Hacking ist recht simpel. Man muss sich nur die erweiterten


Suchbegriffe anschauen:

link google erweiterte Suchbefehle
. = jeder Buchstabe
* = jedes Wort
.. = Numerische Suche 5..8 findet alle Zahlen zwischen 5 und 8 sinnvoll bei Versionssuche macht aber in der Praxis noch Probleme.

Suchoperatoren mit grundlegendem aufbau: operator:suchstring

site:google.de = findet alles auf der Seite google.de
filetype:vbs = findet nur *.vbs dateien
link:cgi = findet alles mit cgi im link
cache:site = findet alles im googlecache von einer bestimmten Seite
intitle:string = findet alles mit string im Titel
inurl:string = findet alles mit string in der url

Was kann man mit google hacking alles finden und was muss ich eingeben um blabla zu finde. Eine liste mit sogenannten googledorks gibts hier: http://johnny.ihackstuff.com/
Dort ist eine Tabelle mit vielen Suchbegriffen. Lustig ist zum Beispiel folgender Aufbau:
inurl:"index.of" site:domainname.com

Mit diesem konstrukt kann man überprüfen ob und welche Verzeichnisse von einem bei google im index liegen. Sollte hier ein Verzeichniss auftauchen welches hier nicht hineingehört dann am besten die Zugriffsrechte neu setzen.

Hier noch ein Beispiel was man mit google alles finden kann:

intitle:"index.of.plugins"

Findet ein paar Ordner mit plugins von wordpress installationen. Da akismet doch sehr verbreitet ist ;)

intitle:"index.of.plugins" intext:akismet


Oder ein paar webcams??? Kein Problem

allintitle: "live view - AXIS Network Camera"

Und so kann man es mit jedem Netzwerkfähigen gerät suchen welches ein Graphical Interfaces übers www anbietet. Oder einen mini Webserver besitzt *fg*
Von Drucker usw. Und es ist erstaunlich einfach. Einfach die Handbücher von Druckstrassen *fg* oder ähnlichem lesen und schon weiß man wonach man suchen muss.

Aber vorsicht solle man es übertreiben oder sogar anonym bleiben bei der Suche dann bringt google das hier:










(google Fehlermeldung)

Aber sind wir mal ganz ehrlich. Schuld daran dass ich diese dinge finden kann bin ja nicht ich der die das Programm bedient sonder der der das Programm bereitstellt :D

Wie schütze ich mich???
Den stecker ziehen, off gehen und Webspace löschen *fg*
Naja so schlimm ist es nicht, aber grundsätzlich keine sensiblen und privaten Daten auf dem Webserver rumliegen lassen. Egal für wie sicher man die Sache hält am sichersten ist es an vielen Stellen aber am wenigsten auf dem Webserver.
Netzwerkgeräte, Drucker etc. die Konfiguration der Geräte so vornehmen dass diese nicht über das Internet erreicht werden können. Entweder Zugriff nur auf bestimmte Ip Ranges beschränken, wenn es möglich ist am Router, Firewall nur die Ports geöffnet lassen welche auch wirklich benötigt werden!

Also viel Spass beim googeln und vor allem beim absichern der Netzwerke !

Kommentare

Beliebte Posts aus diesem Blog

hackthissite.org Level 6 Basic Lösung

Im Level 6 geht es um eine kleine Decheffrierung. Also du siehst hier ein Verschlüsseltes Passwort und sollt dieses Entschlüsseln damit du es eingeben kannst und somit einen level weiter kommst. Du hast hier eine Hilfe, denn du kannst mit dem oberen Formular selbst daten verschlüsseln. Somit kannst du ein Muster erkennen wenn du zum Beispiel hallo oder auch tasse verschlüsseln lässt. Wenn du nun ollah oder essat verschlüsseln lässt dann fällt etwas auf oder?? Die Erklärung: hallo wird zu hbnos tasse wird zu tbuvi essat wird zu etudx Die cheffrierung funktioniert folgend: Du solltest zum verständniss eine ASCII Tabelle heranziehen! Formel: Verschlüsseltes Zeichen = (Position in String) + (Aktuelles Zeichen, ASCII Code) Somit ist auch klar warum das erste Zeichen sich nie verändert. Da es mit 0 anfängt zu Zählen. h = 0 ( +0) Bleibt gleich. a = 1 ( +1) l = 2 ( +2) l = 3 ( +3) 0 = 4 ( +4) Hier die Decheffrierung des Verschlüsselten Textes: ...

Das Land Baden-Württemberg als heimlicher Simpsons Fan!!

sdadsdsaads' type="hidden"> Das Land Baden-Württemberg mag die Simpsons doch sehr! Chief Wiggum als Minister?? Aber hier schaut euch doch selbst die Meldung an ! Baden-Würrtemberg und die Simpson Ja dass ist selbstverständlich keine Meldung des Landes Baden-Württemberg, das ist doch irgendwie von vorne rein klar?? Oder etwa nicht? Das zeigt mal wieder wie unschön große Agenturen arbeiten..... Ah für alle die das hier irgendwie interessant finden, ich, also der Autor bin momentan auf der Suche nach einer neuen Arbeitsstelle!! Am liebsten als Penetrationstester in einer Sicherheitsfirma aber gerne auch bei Internet Firmen welche Ihre Seiten immer sicher haben wollen ;-) Mein schwerpunkt liegt bei den Web-Applicationen. Und in der Programmierung kenne ich mich bestens in PHP, Java, HTML (kombi AJAX).Und einigermaßen kann ich auch C, wird aber ständig verbessert! Bei interesse einfach mal ne mail senden..... Ps: Ich weiß wie man...

Linearen Notenschlüssel mit nodejs berechnen

Linearen Notenschlüssel berechnen / Method chaining in nodejs Hintergrund/Motivation: Ein kleines altes Nebenprojekt von mir war eine Schüler/Notenverwaltung Software in Java geschrieben. Das kleine Programm ist etwas in die Jahre gekommen und da wollte ich kleine teile von der Software nach nodejs portieren und es etwas auffrischen. Und zum start habe ich die Berechnung der Noten nach einem Linearen Notenschlüssel portiert. Also die dahinter liegende Klasse. Kurze Beschreibung der Eigenschaften der Klasse: Die Klasse soll die Berechnung anhand der Maximalen zu erreichenden Punkzahl und der erreichten Punkzahl des Schülers berechnen. Es gibt folgende Attribute: defaultPoints => fallback falls maxPoints nicht gesetzt wird maxPoints => Maximal zu erreichende Punkte im Test/Arbeit reachedPonts => Erreichte Punktzahl des Schülers Darüber hinaus sollen die setter der Klasse via   Method chaining  einfacher und kürzer aufrufbar sein, hierzu ein kleiner Pse...