Unconfigured Ad Widget

Collapse

Anúncio

Collapse
No announcement yet.

Google Hacks na Pratica !

Collapse
X
Collapse
 
  • Page of 1
  • Filter
  • Tempo
  • Show
Clear All
new posts
Anterior template Avançar
  • Font Size
    #1

    Dica Google Hacks na Pratica !

    Bom, Google Hacks é nada menos que pequenas pesquisas com grandes respostas...
    Muitos de nós utilizamos para diversas coisas, como pesquisas de algumas vulnerabilidades,
    alguns bancos de dados soltos por ai, e por ai vai, depedendo de cada um...
    Mais meu prinicipal objetivo hoje é mostrar a vocês como usar técnicas com o Google e ganhando
    resultados melhores do que vocês pensam...

    1 - Você acha que usa realmente toda a potencia do Google?
    R= Não, pois em algumas pesquisas com usuarios do Google mostra que usam apenas pesquisas simples. E 1 acada 10 "Hackers" sabe realmente usar o Google como uma arma real.

    1.1 - Bom, essa pergunta não foi para ofender tah , mais sim para vocês terem uma nossão de como vocês usam realmente o Google...
    Mais não vim aqui para criticar ninguem, apenas para mostrar como usar melhor o Google...

    1.2 - Bom, agora vamos ao que realmente interessa.
    O Google contém alguns sistemas de pesquisa avançadas para ajudar os seus usuarios a terem um resultado melhor. Exato ! Usaremos alguns desses mecanismos agora...

    1.3 - Allinurl / Inurl / FileType / Site / data-data
    Esses são apenas alguns dos modos de pesquisa avançado do Google.
    Usaremos alguns deles logo abaixo.

    2 - Redirecionamento.
    Muitos perguntam. Para que urei usar redirecionamento?
    Simples, você podera fazer XSS em alguns sites de banco, redirecionando a pagina original para uma Fake...

    2.1 - Paginas para redirecionamento.
    Primeiramente, você precisa saber qual tipo de site você quer. Um exemplo que usaremos será um site de banco ( bradesco.com.br )
    Bom, agora que ja temos o site, vamos procurar as vulnerabilidades...

    * Abra o Google
    - agora iremos usar alguns dos modos de pesquisa para obter resultados que poderemos usar como redirecionamento.

    Código:
    Allinurl: url= site:bradesco.com.br
Allinurl: site= site:bradesco.com.br
Allinurl: redir= site:bradesco.com.br
Allinurl: redireciona= site:bradesco.com.br
Allinurl: redirecionamento= site:bradesco.com.br
Allinurl: pag= site:bradesco.com.br
Allinurl: page= site:bradesco.com.br
Allinurl: pagina= site:bradesco.com.br
Allinurl: ir= site:bradesco.com.br
Allinurl: go= site:bradesco.com.br
Allinurl: msg= site:bradesco.com.br
Allinurl: img= site:bradesco.com.br
Allinurl: html= site:bradesco.com.br
    E por ai vai, é só ter uma base de como é esses modos de pesquisa que você irá fazer suas próprias pesquisas avançadas.
    E agora? O que você faria?
    Simples, basta você copiar o Link dos resultados, até a string "url=" "site=" <- essas ou outra que você pesquisou, fazendo como o exemplo abaixo:

    Código:
    "URL ORIGINAL" = http://www.bradesco.com.br/..................../pagina.asp?url=/............../
"URL MODIFICADA" = http://www.bradesco.com.br/..................../pagina.asp?url=http://SUAPAGINAFAKE.com.br
    Bom, agora é só você fazer Spam, com alguns motivos para a vitima clicar no link. Porém, alguns hoje em dia olham a URL, antes de clicar como precaução.
    Bom, ai que tah o segredo. Você pode fazer um cURL na sua pagina fake e colocar depois da string da pagina vulneravel.
    Assim a vitima vai olhar a URL, vai ver que o site é real mesmo, e por ate precaução entra na base do site ( Apenas usuários registrados e ativados podem ver os links., Clique aqui para se cadastrar... ) para ver se é real.
    Vendo que é o site é real, boa parte de quem você mandar o spam irá cair, mais geralmente, quem usa o site.

    3 - RFI.
    Você pode usar alguma dessas pesquisas para fazer um deface usando RFI. Mais vamos inclementar um pouco mais a pesquisa, para obtermos resultados melhores.
    Tambem usaremos o site do bradesco como uma base.

    Código:
    Allinurl: cmd= site:bradesco.com.br
Allinurl: dir= site:bradesco.com.br
Allinurl: path= site:bradesco.com.br
Allinurl: inc= site:bradesco.com.br
Allinurl: incluir= site:bradesco.com.br
Allinurl: upload= site:bradesco.com.br
Allinurl: editar= site:bradesco.com.br
Allinurl: edit= site:bradesco.com.br
Allinurl: mod= site:bradesco.com.br
Allinurl: modificar= site:bradesco.com.br
    Bom, claro que alguns desses resultados não dara certo, mais só estou mostrando como base como você pode fazer RFI
    Você claramente terá que se esforçar para encontrar algumas paginas que incluem arquivos remotos, para poder fazer RFI para o Deface, ou algo maior.

    4 - SQL Injection.
    Bom, essa é uma das técnicas mais usadas para fazer deface. Como base, mostrarei como achar algumas paginas de login para podermos usar SQL Injection.
    Tambem usaremos o site do bradesco como uma base.

    Código:
    Allinurl: login=admin site:bradesco.com.br
Allinurl: login=adm site:bradesco.com.br
Allinurl: log=admin site:bradesco.com.br
Allinurl: admin=login site:bradesco.com.br
Allinurl: adm site:bradesco.com.br
Allinurl: admin site:bradesco.com.br
Allinurl: admnet site:bradesco.com.br
Allinurl: adm/net site:bradesco.com.br
Allinurl: login/admin site:bradesco.com.br
Allinurl: editar/admin site:bradesco.com.br
Allinurl: usuario/admin site:bradesco.com.br
    Enfim, isso é uma das pequenas bases para suas pesquisas avançadas... Basta ter criatividade e mãos a obra...

    5 - Conclusão.
    Bom, agora alguns devem tah se perguntando. Pra que esse cara veio aqui mostrar uma coisa que eu ja sabia?
    Simples, é só você saber ajuntar todas essas técnicas e mais algumas outras para obter um resultado que alguns aqui nunca teve.

    Conclusão geral ( em uma pequena historinha ) :

    Digamos que você esteja precisando de uma grana, e você sabe boa parte sobre hacking por exemplo... Você precisa da grana o mais rapido possivel...
    Você ja tem seus laranjas quando fazia suas compras ilegais...
    E agora, você acaba de informalos que você precisa da ajuda deles novamente, só que precisa de suas contas bancarias para fazer a transferencia de grana.
    Ate ai tudo bem. Mais e agora? Qual será a vitima?
    Simples, não só uma, mais várias. Você precisará apenas ter criatividade e fazer um dos modelos de "ataque" abaixo:

    1 - Usaria RFI para incluir uma WebShell no servidor e procuraria o banco de dados e fazeria backup para ver os usuarios e senhas, alem dos cartões de crédito e mais coisas ainda...
    2 - Ou usaria o modo de redirecionamento enviando Spam para milhares de pessoas, esperando que alguma caia.
    3 - Ou usaria o SQL Injection para fazer backup do bando de dados tambem para ver os usuarios e as senhas, e ainda mais...

    Enfim.. Suponhamos que você usou umas das técnicas. Você teve exito, transferiu a grana que precisava para a conta do laranja.
    Ai o laranja pega a grana, o "Hacker" pega e paga uma parte pro laranja e fica com o resto.
    Enfim, essa "Historinha" é só para mostrar como você poderia usar as técnicas. E não existe só essas, e sim milhares de milhares.

    6 - Extras.
    Para procurar por mais vulnerabilidades, procure pelo programa Goolag ( Windows ). Você pesquisando no Google irá encontralo logo no primeiro link...
    Você pode usar algumas das Dorks que o programa contém para fazer suas pesquisas avançadas, atras de servidores vulneraveis, enfim, quase tudo o que você quiser.

    Recomendo tambem que leiam alguns books sobre o google, como o próprio google hacks...
    Mais não fique apenas nas "receitas de bolos"... Hoje só mostrei a base de como você pode usar o Google para suas arte e manhas...
    Crie suas strings de pesquisas, se quiser compartilhar, melhor ainda.

    Essa dica é apenas um pequeno resumo de alguns books sobre google hacks...
    Quem quizer postar mais dicas, criticas, o tópico esta ai para nós discutirmos...

    CodeZ
    Tags: Nenhum(a)
    • Top
  • Font Size
    #2
    muito bom...

    valeu por contribuir...
    • Top

    Comment

    • Font Size
      #3
      lol, essas dorks são old :-O
      • Top

      Comment

      • Font Size
        #4
        quem realmente acha que pode simplesmente roubar um banco sÓ pq tem ajudantes, esta muito errado, hoje tem gente que acha que o dono do banco milionario vai simplesmente montar uma investigaÇao do roubo e depois de um longo tempo esquecer do ato.... Hahaha
        ou achar que depois do roubo eh so foragirse em outro pais desfrutando do dinheirÃo que conseguiu por invadir o sistema dum banco e conseguir nomes, senha,numeros....
        Hoje haaaa muita coisas escondida sobre a ierarquia que o dinheiro pode comprar......
        O milionario dono do banco podde simplesmente pagar para recuperar o dinheiro roubado e lascar sua vida a vida de seus pais de seus avÓs e ate de seus futuros filhos.e quem acha que fugir paara outro pais ajuda a se anonimizar do roubo,,,, digo esta sendo muito loukoooooooooooooooooooooooooooooooooo ,,,,,, muitos conseguem fikar alguns anos de vida boa.... Luxuosa....... Mas outros nao conseguem nem mesmo chegar a esse pais de refugio............................... Um ato de pichar site , pegar senhas de admins etc , nao eh nada comparado com o medo e noites em claro com medo de te pagarem de pijama na sua cama de hotel,ou em sua propria casa.....e vc mijar nas calÇas de susto.... Realmente muitos terminam suas vidas assim....
        Eu prefiro viver trabalhando e ganhar um salario por mes do que viver o resto de minha vida numa cadeia..............ou ate mesmo usaria minha inteligencia para poder lucrar honestamente, me oferecendo a empresas que criam sites, ou gerenciadoras de servidores de empresas, para testar se hÁÁÁ algum erro que possa ser fatall...
        Issooo sim eh um modo facil facil e seguro total de fazer dinheiro..................................
        • Top

        Comment

        • Font Size
          #5
          so fala uma coisa.. cadeia é fod4
          • Top

          Comment

          • Font Size
            #6
            Pra quem quer correr o risco de ser preso por pouca grana, vale apena. Agora pra quem não quer correr o risco não é bom fazer com site de banco, e sim com algum joguinho pirata e tal que não dá em nada mais sério.
            • Top

            Comment

            • Font Size
              #7
              parece ser facil mas não é
              • Top

              Comment

              • Font Size
                #8
                Boa Dica amigo, mas antiga.

                Só adicionando vale lembrar que o google tem outras formas de pesquisa além do allinurl que busca por palavras apenas na URL.

                Temos

                inurl:
                intext:
                allintext:
                inachor:

                entre outros...

                Att,
                Marcelo Moraes.
                • Top

                Comment

                Anterior template Avançar
                X
                Working...
                X