Skip to main content
Técnicas Google Hacking para recolectar información pública

Técnicas Google Hacking para recolectar información pública

Google Hacking implica el uso de operadores avanzados de Google en su motor de búsqueda para localizar cadenas específicas de texto dentro de los resultados de búsqueda.

Bienvenidos a un nuevo post en ByteMind. En este caso os vamos a enseñar varias técnicas en Google para encontrar la información más clara y rápida que de la forma convencional.

 

Google Hacking implica el uso de operadores avanzados de Google en su motor de búsqueda para localizar cadenas específicas de texto dentro de los resultados de búsqueda. Algunos de los ejemplos más populares están encontrando versiones específicas de vulnerabilidad de aplicaciones web.

Las consultas de búsqueda localizarían todas las páginas web que tiene diferentes tipos de filtros; ya sea por el título (intitle), por texto principal (intext), por url (inurl) o por otros filtros más.

 

Listado de comandos

Para hacer Google Hacking, se deben conocer los operadores avanzados de búsqueda de Google o comandos de búsqueda avanzada de Google, que se pueden incluír en el recuadro normal de búsquedas individualmente o combinados entre sí. A continuación el listado de comandos existentes:

Comando Descripción
” ” (comillas) buscar frase exacta
and operador lógico “y”
not operador lógico “no”
+ incluír: Ej: mustang +coches: busca la palabra “mustang” que además incluya la palabra “coches”
excluír. Ej: mustang -coches: busca la palabra “mustang”, pero omite las webs con la palabra “coches”
* (asterisco)  comodín, cualquier palabra, pero sólo una
. (punto) comodín, cualquier palabra, una o muchas
intitle la expresión buscada o parte de la misma está en el título
allintitle la expresión buscada está entera en el título
inurl la expresión buscada está en la url
allinurl toda la expresión buscada está en la url
site sólo busca resultados dentro de la web indicada, ej: “site:example.com”
filetype sólo busca archivos de un tipo (doc, pdf, txt…)
link sólo busca en páginas que tienen un enlace a una determinada web
inanchor sólo busca en páginas que tienen la expresión buscada en el texto de enlace
cache realiza la búsqueda de una web en la cache de Google
related busca webs relacionadas
@name buscar sólo en una red social, ej: @twitter
$valor búsqueda por precio
#hashtag buscar por hashtag
1..2 limitar la búsqueda entre los números indicados

 

Qué podemos buscar en Google

Combinando estos operadores, podemos utilizar Google como medio para encontrar información acerca de servidores, usuarios, contraseñas, vulnerabilidades, rutas no aseguradas correctamente o disponibles de forma pública, y un largo etcetera.

A continuación mostramos algunos ejemplos de lo que podríamos encontrar

Ficheros con usuarios y contraseñas

Un hacker podría encontrar contraseñas en texto plano mediante búsquedas en google lo que permitiría entrar directamente a una web o servicio.

A continuación algunos ejemplos de consultas que se puede realizar:

Técnicas Google Hacking  para recolectar información pública

 

Páginas con formularios de login

Esto les permitiría encontrar formularios poco securizados para realizar un ataque de diccionario (con listas de usuarios y contraseñas más frecuente combinados). Y si no consigue entrar por ahí usará la fuerza bruta: probando contraseñas con un programa, hasta conseguir entrar.

 

Detección de la versión del servidor de la web o de productos vulnerables

Si el servidor o alguno de los programas instalados en el mismo no se encuentran en la última versión es posible que exista alguna vulnerabilidad que podría ser explotada para ganar acceso al mismo.

 

Dispositivos de hardware online

Podemos encontrar cámaras de seguridad, webcams, impresoras que carecen de seguridad o incluso que se encuentran públicas sus claves y se pueden controlar de forma remota.

 

Google Hacking Database

Además de todo esto está disponible la página web de Google Hacking Database donde podemos encontrar todo tipo de búsquedas con las que encontrar toda esta información y que sirven de apoyo para que un administrador corrija los problemas existentes en su infraestructura.

Técnicas Google Hacking  para recolectar información pública

 

Búsqueda avanzada de imágenes

También es posible buscar en concreto una imagen nuestra en el propio buscador desde la propia sección de imágenes:

Técnicas Google Hacking  para recolectar información pública

 

O realizar una búsqueda avanzada de las mismas desde el siguiente enlace y como vemos en la siguiente captura de pantalla:

Técnicas Google Hacking  para recolectar información pública

 

Esto es todo por el momento, espero les haya sido de utilidad y les ayude a asegurar sus sistemas para evitar que problemas como estos salgan a la luz.

Recordar que esto es simplemente informativo y con la idea de aprender como funciona google y como podemos evitar problemas en nuestra infraestructura y no nos hacemos responsables de cualquier acto indevido gracias a la información obtenida de este blog.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *