Quien se inicia en el mundo del hacking y/o el pentesting en sí, ha oído hablar del llamado "Hacking con buscadores", me refiero a términos como Google hacking, Bing hacking etc...
Ha habido distintas herramientas a lo largo del tiempo que se han usado para estos menesteres. El hacer Google hacking no significa que sea solo para encontrar sitios vulnerables. Puede ser que sea por ejemplo para encontrar FTP's abiertos con MP3 disponibles para descargar. :D La otra vertiente de la que podemos sacar provecho es usar estos dorks para encontrar servidores o páginas webs presuntamente vulnerables.
Seguro que mas de uno/a recuerda algunas de las herramientas que pongo a continuación.
Una de las primeras herramientas que personalmente pude ver para hacer Google hacking desde Windows era esta:
¿A alguien le trae buenos recuerdos?
Luego tenemos proyectos como los de Stach&Liu
El artículo de hoy no va sobre este proyecto sino sobre GooDork. Podremos hacer Google Hacking desde la línea de comandos!
Para usar la herramienta la clonamos desde el GitHub.
darkmac:~ marc$ git clone https://github.com/k3170makan/GooDork.git
Cloning into 'GooDork'...
remote: Counting objects: 103, done.
remote: Compressing objects: 100% (52/52), done.
remote: Total 103 (delta 53), reused 95 (delta 46)
Receiving objects: 100% (103/103), 32.96 KiB, done.
Resolving deltas: 100% (53/53), done.
Para poder usarlo hay que instalar dependencias, en mi caso solo ha echo falta instalar BeautifulSoup4. Se puede instalar vía pip o easy_install.
Vamos a hacer una búsqueda.
Aquí tenemos la respuesta por parte de servidor, ahora veremos que es lo que ha encontrado.
Podemos acotar más la búsquedas:
La herramienta es muy sencilla de usar:
Si no tenemos mucha idea de como escoger los dorks adecuados podemos visitar webs tan emblemáticas como:
No hará falta que diga que se podría hacer un módulo para SQLmap que buscara algo parecido a:
Y lanzará sqlmap directamente, pero no daremos más malas ideas :P
[+] Github del Proyecto: https://github.com/k3170makan/GooDork
[+] Web con el artículo del autor: http://blog.k3170makan.com/2012/03/goodork-super-charging-your-google.html
[+] Web con múltiples Google Dorks: http://www.exploit-db.com/google-dorks/
Artículo cortesía de Marc Rivero López
10 comments :
Muchas gracias por el post.
Si se me permite una crítica constructiva, la forma correcta no es "han habido distintas herramientas" sino "ha habido distintas herramientas" (http://lema.rae.es/dpd/?key=haber) Las faltas gramaticales desmerecen un poco la presentación, por otra parte bastante buena.
Una de las razones por las que sigo el blog es porque a la calidad del contenido une el gusto en el diseño (otros me parecen bastante más feos). Cuando estás cara al público no todo es soltar cosas técnicas: el aprendizaje es más fácil cuando agrada a la vista. Y si a eso se añade la corrección lingüística, entonces es un blog ya perfecto. :-)
Espero que no lo toméis a mal. :-)
Un saludo
Muchas gracias! Lo hemos corregido
Saludos
A vosotros :-)
¿Cual seria la palabra correcta para : "Reacción exagerada sobre una trivialidad"?
***sería... que si no luego me crucifican.
Esa costumbre de considerar que saber hablar es trivial es una de las múltiplas cosas que nos están llevando a ser una nación cada vez más paleta y atrasada. Quien considera trivial saber expresar ideas con claridad y sin torpeza seguramente considere trivial hacer bien otra serie de cosas más importantes.
En fin, no pretendo «crucificarte», ni mucho menos que mi comentario te ofenda, pero ya está bien de fomentar el palurdismo con eso de que «no hay que ser exagerados con la calidad del habla o la escritura».
Salud.
Totalmente de acuerdo, María. Pero en mi opinión lo más importante, es, aparte de que hablando bien todo queda explicado mucho mejor, que cuando lees algo que además de mostrar un conocimiento que uno no tiene está bien escrito, la confianza en que el autor de verdad sabe de qué está hablando en lugar de haberse limitado a copiar, pegar y editar un poco es mucho mayor, porque alguien que se preocupa por dominar el idioma seguramente también se haya preocupado por dominar la materia sobre la que está escribiendo.
Gracias a los dos visitantes. En fin, me alegro de ver que no soy la
única que opina de esa manera. Cuando yo estudiaba, te suspendían un
examen de ciencias si tenías muchas faltas, aunque estuviera perfecto.
Pero era otra época, antes de la Logse...
En todo caso, es cierto
que en el blog no son habituales ese tipo de errores (al menos, desde
que yo lo sigo), los dueños se han tomado bien mi comentario y tampoco
es cuestión de seguir incidiendo en el tema lingüístico, ya que no es la
temática del mismo. :-)
good
Ufff... tu corrección tiene un error (cuando abrís un paréntesis, cerralo).
Publicar un comentario