Google Hacking, ganz einfach
Google Hacking - damit sind keine Hackerangriffe auf Google gemeint, sondern Angriffe über Google: Wenn man die Suchmaschine und auch die sonstigen Google-Angebote geschickt nutzt, verraten die meist mehr über eine Website oder deren Betreiber, als der erwartet und als ihm lieb ist.
Die Anfänge: Google Dorks
In der Google Hacking Database (GHDB) von Johnny Long werden Google Dorks so beschrieben:
"We call them ‘googledorks’: Inept or foolish people as revealed by Google. Whatever you call these fools, you’ve found the center of the Google Hacking Universe!"
Auf Deutsch also etwa
"Wir nennen sie 'googledorks': Unfähigen oder dumme Menschen, die von Google aufgedeckt werden. Wie auch immer Sie diese Narren nennen, Sie haben (mit ihnen) das Zentrum des Universums Google Hacking gefunden!"
Inzwischen werden auch die speziellen Suchanfragen als "Google Dork" bezeichnet. Die Beschreibung von Johnny Long ist aber etwas sehr hart formuliert, denn als "Google Dorks" werden auch Suchanfragen nach Webanwendungen mit bekannten Schwachstellen bezeichnet. Die nutzen meist die in den Webseiten enthaltenen Copyright- und/oder Versionsinformationen aus, und jemanden als Dumm oder Unfähig zu bezeichnen, weil er seine Programme angemessen kennzeichnet, ist doch etwas übertrieben.
Auf der anderen Seite findet man über Google Hacking auch Dateien, die nach Ansicht ihrer Eigentümer gar nicht zu finden sein sollten. Z.B. weil vergessen wird, Verzeichnisse von der Indexierung auszunehmen oder eigentlich nicht mehr benötigte Dateien zu löschen. Dabei kommt natürlich auch Unfähigkeit oder eher Unwissenheit ins Spiel. Und was man sonst noch so alles finden kann... aber das sehen Sie ja bald selbst.
In der Google Hacking Database werden diese Suchanfragen gesammelt. Aktualisiert wird die Datenbank inzwischen über die Exploit DB, über die sie auch abgefragt werden kann.
Erste Beispiele
Als erste Beispiele sollen einfache Abfragen dienen, die ganz ohne Optionen für die Google-Suche auskommen:
-
"Welcome to Sitecore" "License Holder"
sucht nach dem Content Management System Sitecode. -
"Powered by kryCMS"
sucht nach dem Content Management System kryCMS, in dessen Version 3.0 es eine SQL-Injection-Schwachstelle gibt. -
"Powered by SLAED CMS"
sucht nach dem Content Management System Slaed, in dem die Möglichkeit zum Einschleusen von PHP-Code besteht. -
"Powered By Dew-NewPHPLinks v.2.1b"
sucht nach dem Linkverwalter Dew-NewPHPLinks, der eine SQL-Injection-Schwachstelle und keine Authentifizierung für den Administrationsbereich enthält. Der Dork wird auch im zugehörigen Advisory angegeben. -
"Welcome to the CyberGuard unit!"
ist eine schon etwas ältere Abfrage nach CyberGuard-Überwachungssystemen, die sich zumindest damals über die so gefundene Weboberfläche konfigurieren und ausspähen ließen. -
¦¦Powered by [ClipBucket 2.0.91]
sucht nach den Videosharing-Skript ClipBucket, dass zum Teil Default-Zugangsdaten für den Administrationsbereich verwendet. -
FlashChat v4.5.7
ist eine ältere Anfrage zur Suche nach Flash Chat Clients, die zumindest 2006 ein Default-Passwort für den Administrator verwendeten. -
"My RoboForm Data" "index of"
sucht nach Passwort-Dateien von Roboform. -
"Unable to jump to row" "on MySQL result index" "on line"
und"Warning:" "failed to open stream: HTTP request failed" "on line"
und"Warning: Supplied argument is not a valid File-Handle resource in"
und"Warning: mysql_connect(): Access denied for user: '*@*" "on line" -help -forum
sind Suchanfragen für Fehlermeldungen, die einem Angreifer oft wichtige Hinweise über den Server und die Anwendungen liefern.
Da dabei oft auch Anfragen in Foren etc. zu den Fehlermeldungen im Google-Ergebnis auftauchen, werden die im dritten Beispiel durch die Angabe von-help -forum
ausgefiltert: Ein-
vor einen Begriff bedeutet, dass dieser Begriff nicht im Ergebnis vorkommen darf. -
MySQL: ON MSSQL: OFF Oracle: OFF MSSQL: OFF PostgreSQL: OFF cURL: ON WGet: ON Fetch: OFF Perl: ON
und"r57shell"
und"r57shell 1.4"
undintitle:#k4raeL - sh3LL
dienen alle zur Suche nach Webshells, die u.a. von Hackern auf erfolgreich angegriffene Server hochgeladen werden.
Zumindest das zweite und dritten Beispiel finden auch alle Seiten, auf denen über die r57shell, ggf. in Version 1.4 berichtet wird. Diese Seite gehört in Zukunft auf dazu. Um die Ergebnisse einzugrenzen, wird im vierten Beispiel gefordert, dass der Suchbegriff sich imtitle
-Tag der Seite befindet.
Ein paar Optionen verbessern die Ergebnisse
Google stellt eine Reihe von Optionen bereit, um die Suchergebnisse zu verfeinern. Wenn Sie die Erweiterte Suche aufrufen, können Sie diese Optionen bequem im Formular auswählen. Sie können aber auch durch entsprechende Schlüsselwörter aktiviert werden, wie es oben schon in einigen Beispielen geschehen ist. Damit sind deutlich feinere Suchabfragen und natürlich auch Google Dorks möglich:
-
intitle:"HtmlAnvView:D7B039C1"
sucht nach Seiten, in derentitle
-Tag der String "HtmlAnvView:D7B039C1" vorkommt. Dabei handelt es sich um Webcams, deren Default-Zugangsdaten zum Teil nicht geändert werden können, so dass man über die bekannten Zugangsdaten auf die Administrationsoberfläche und damit die Kameraaufnahmen zugreifen kann. -
intext:"~~Joomla1.txt" title:"Index of /"
liefert als Ergebnis die Konfigurationsfiles von Joomla!-Installationen, sofern das entsprechende Verzeichnis für den Google-Bot zugänglich war. -
intitle:awen intitle:asp.net
dient zur Suche nach installierten ASP.NET-Webshells, wie sie z.B. in BackTrack enthalten sind. Beide Begriffe müssen imtitle
-Tag vorkommen. -
inurl:"tiki-index.php" filetype:php "This is TikiWiki 1.9"
sucht nach Installationen von TikiWiki 1.9, für das es einen Exploit für eine bekannte Schwachstelle gibt. Gesucht wird nach allen Fundstellen, in denen der String "This is TikiWiki 1.9" enthalten ist. Zusätzlich muss der String "tiki-index.php" im URL der Fundstelle vorkommen und ihr Filetype mussPHP
sein.
Mit anderen Worten: Es wird nach PHP-Skripten mit dem Namen "tiki-index.php"gesucht, die den String enthalten. Alle Seiten, auf denen zwar der String vorkommt, die aber einen anderen Dateinamen oder Type haben, werden von Google nicht ausgegeben.
Die wichtigsten Optionen...
... kamen oben zum Teil schon vor, es gibt aber noch einige mehr. Auch das hier ist nur eine Auswahl:
-
""
- Doppelte Anführungsstriche sorgen dafür, dass nach genau dem zwischen den Anführungszeichen angegebenen String gesucht wird und nicht nach einem Vorkommen der Wörter in beliebiger Reihenfolge. Diese Option kennen Sie sicher alle. -
intitle:
sucht nach dem angegebenen Begriff im Titel der Seiten. -
allintitle:
sucht nur nach Seiten, die alle angegebenen Begriffe im Titel enthalten. -
intext:
sucht nur im Text der Seiten nach dem angegebenen Begriff. -
allintext:
funktioniert wie beiallintitle:
, nur das hier alle Begriffe im Text der Seite vorkommen müssen. -
inurl:
sucht nach dem angegebenen Begriff im URL der Seiten. -
site:
beschränkt die Suche auf eine bestimmte Website. -
filetype:
beschränkt die Suche auf einen bestimmten Dateityp, z.B. PHP oder PDF -
cache:url
gibt die von Google gecachte Version der URL aus. Das ist sehr nützlich, wenn eine Seite inzwischen geändert wurde, z.B. weil jemanden etwas daran nicht gefiel. Da Google den Cache regelmäßig auffrischt, bleiben die Seiten aber u.U. nicht sehr lange erhalten. Für länger zurückliegende Seitenversionen ist die Wayback Machine von Internet Archive zuständig. -
info:url
liefert eine Übersicht über alle Informationen, die Google über diesen URL besitzt.
Das soll als Einführung erst mal reichen, in der nächsten Folge geht es dann um fortgeschrittenes Google Hacking.
Übersicht über alle Artikel zum Thema
- Google Hacking, ganz einfach
- Google Hacking - The Next Generation
- Google Hacking: Verzeichnislisten und Intranets
- Google Hacking: Webserver finden
- Google Hacking: Webanwendungen finden
- Google Hacking: Portale und Netzwerkhardware finden
- Google Hacking: Interessante Dateien finden
- Google Hacking verhindern: Verzeichnisse schützen
- Google Hacking verhindern, Teil 2
Trackbacks
Dipl.-Inform. Carsten Eilers am : Linktipps - Das sollten Sie lesen...
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen über kompromittierte Webanwendungen
Vorschau anzeigen
Dipl.-Inform. Carsten Eilers am : Unsichere Router, unsichere Cloud, unsichere Werbung, unsicheres FBI... ja, ist denn gar nichts mehr sicher?
Vorschau anzeigen