Skip to content

Google Hacking, ganz einfach

Google Hacking - damit sind keine Hackerangriffe auf Google gemeint, sondern Angriffe über Google: Wenn man die Suchmaschine und auch die sonstigen Google-Angebote geschickt nutzt, verraten die meist mehr über eine Website oder deren Betreiber, als der erwartet und als ihm lieb ist.

Die Anfänge: Google Dorks

In der Google Hacking Database (GHDB) von Johnny Long werden Google Dorks so beschrieben:

"We call them ‘googledorks’: Inept or foolish people as revealed by Google. Whatever you call these fools, you’ve found the center of the Google Hacking Universe!"

Auf Deutsch also etwa

"Wir nennen sie 'googledorks': Unfähigen oder dumme Menschen, die von Google aufgedeckt werden. Wie auch immer Sie diese Narren nennen, Sie haben (mit ihnen) das Zentrum des Universums Google Hacking gefunden!"

Inzwischen werden auch die speziellen Suchanfragen als "Google Dork" bezeichnet. Die Beschreibung von Johnny Long ist aber etwas sehr hart formuliert, denn als "Google Dorks" werden auch Suchanfragen nach Webanwendungen mit bekannten Schwachstellen bezeichnet. Die nutzen meist die in den Webseiten enthaltenen Copyright- und/oder Versionsinformationen aus, und jemanden als Dumm oder Unfähig zu bezeichnen, weil er seine Programme angemessen kennzeichnet, ist doch etwas übertrieben.

Auf der anderen Seite findet man über Google Hacking auch Dateien, die nach Ansicht ihrer Eigentümer gar nicht zu finden sein sollten. Z.B. weil vergessen wird, Verzeichnisse von der Indexierung auszunehmen oder eigentlich nicht mehr benötigte Dateien zu löschen. Dabei kommt natürlich auch Unfähigkeit oder eher Unwissenheit ins Spiel. Und was man sonst noch so alles finden kann... aber das sehen Sie ja bald selbst.

In der Google Hacking Database werden diese Suchanfragen gesammelt. Aktualisiert wird die Datenbank inzwischen über die Exploit DB, über die sie auch abgefragt werden kann.

Erste Beispiele

Als erste Beispiele sollen einfache Abfragen dienen, die ganz ohne Optionen für die Google-Suche auskommen:

Ein paar Optionen verbessern die Ergebnisse

Google stellt eine Reihe von Optionen bereit, um die Suchergebnisse zu verfeinern. Wenn Sie die Erweiterte Suche aufrufen, können Sie diese Optionen bequem im Formular auswählen. Sie können aber auch durch entsprechende Schlüsselwörter aktiviert werden, wie es oben schon in einigen Beispielen geschehen ist. Damit sind deutlich feinere Suchabfragen und natürlich auch Google Dorks möglich:

  • intitle:"HtmlAnvView:D7B039C1"
    sucht nach Seiten, in deren title-Tag der String "HtmlAnvView:D7B039C1" vorkommt. Dabei handelt es sich um Webcams, deren Default-Zugangsdaten zum Teil nicht geändert werden können, so dass man über die bekannten Zugangsdaten auf die Administrationsoberfläche und damit die Kameraaufnahmen zugreifen kann.
  • intext:"~~Joomla1.txt" title:"Index of /"
    liefert als Ergebnis die Konfigurationsfiles von Joomla!-Installationen, sofern das entsprechende Verzeichnis für den Google-Bot zugänglich war.
  • intitle:awen intitle:asp.net
    dient zur Suche nach installierten ASP.NET-Webshells, wie sie z.B. in BackTrack enthalten sind. Beide Begriffe müssen im title-Tag vorkommen.
  • inurl:"tiki-index.php" filetype:php "This is TikiWiki 1.9"
    sucht nach Installationen von TikiWiki 1.9, für das es einen Exploit für eine bekannte Schwachstelle gibt. Gesucht wird nach allen Fundstellen, in denen der String "This is TikiWiki 1.9" enthalten ist. Zusätzlich muss der String "tiki-index.php" im URL der Fundstelle vorkommen und ihr Filetype muss PHP sein.
    Mit anderen Worten: Es wird nach PHP-Skripten mit dem Namen "tiki-index.php"gesucht, die den String enthalten. Alle Seiten, auf denen zwar der String vorkommt, die aber einen anderen Dateinamen oder Type haben, werden von Google nicht ausgegeben.

Die wichtigsten Optionen...

... kamen oben zum Teil schon vor, es gibt aber noch einige mehr. Auch das hier ist nur eine Auswahl:

  • "" - Doppelte Anführungsstriche sorgen dafür, dass nach genau dem zwischen den Anführungszeichen angegebenen String gesucht wird und nicht nach einem Vorkommen der Wörter in beliebiger Reihenfolge. Diese Option kennen Sie sicher alle.
  • intitle: sucht nach dem angegebenen Begriff im Titel der Seiten.
  • allintitle: sucht nur nach Seiten, die alle angegebenen Begriffe im Titel enthalten.
  • intext: sucht nur im Text der Seiten nach dem angegebenen Begriff.
  • allintext: funktioniert wie bei allintitle:, nur das hier alle Begriffe im Text der Seite vorkommen müssen.
  • inurl: sucht nach dem angegebenen Begriff im URL der Seiten.
  • site: beschränkt die Suche auf eine bestimmte Website.
  • filetype: beschränkt die Suche auf einen bestimmten Dateityp, z.B. PHP oder PDF
  • cache:url gibt die von Google gecachte Version der URL aus. Das ist sehr nützlich, wenn eine Seite inzwischen geändert wurde, z.B. weil jemanden etwas daran nicht gefiel. Da Google den Cache regelmäßig auffrischt, bleiben die Seiten aber u.U. nicht sehr lange erhalten. Für länger zurückliegende Seitenversionen ist die Wayback Machine von Internet Archive zuständig.
  • info:url liefert eine Übersicht über alle Informationen, die Google über diesen URL besitzt.

Das soll als Einführung erst mal reichen, in der nächsten Folge geht es dann um fortgeschrittenes Google Hacking.

Carsten Eilers


Übersicht über alle Artikel zum Thema

Google Hacking, ganz einfach
Google Hacking - The Next Generation
Google Hacking: Verzeichnislisten und Intranets
Google Hacking: Webserver finden
Google Hacking: Webanwendungen finden
Google Hacking: Portale und Netzwerkhardware finden
Google Hacking: Interessante Dateien finden
Google Hacking verhindern: Verzeichnisse schützen
Google Hacking verhindern, Teil 2

Trackbacks

Dipl.-Inform. Carsten Eilers am : Linktipps - Das sollten Sie lesen...

Vorschau anzeigen
Angesichts der aktuellen Temperaturen fällt der "Standpunkt" diese Woche sommerlich kurz aus - es gibt nur ein paar Lesetipps: Touchscreens ziehen Fingerabdrücke geradezu magisch an. Wieso sollte man also nicht das Unangenehme mit dem

Dipl.-Inform. Carsten Eilers am : Drive-by-Infektionen über kompromittierte Webanwendungen

Vorschau anzeigen
Präparierte Werbung wie zum Jahreswechsel 2013/2014 auf Yahoo.com ist nur eine von vielen Möglichkeiten, harmlosen Websites den Code für die Drive-by-Infektionen unter zu schieben. Genau so gut können auch die Webanwendungen