Nico Werner, Betreiber des Blogs nicwer.de, ist angehender Spezialist für IT-Sicherheit. Für Mainboarders Blog schrieb er im Rahmen einer Kooperation für Informationen über Sicherheit im Internet folgenden Beitrag.
Wie funktioniert Google?
Google ist zu nächst mal eine voll automatische Suchmaschine, die mit Hilfe von so genannten Spidern (Suchrobotern), das
gesamte Web durchsucht und die gefunden Websites indiziert. D.h es ist eigentlich nicht mal notwendig seine Website bei Google anzumelden, die Suchrobots werden sie früher oder später sowieso finden.
Einige wichtige Befehle
Bevor wir gleich zum “Google hacking” übergehen einige wichtige Befehle, damit das ganze auch hinhaut.
filetype:
Mit filetype lassen sich bestimmte Dateitypen finden.
Bsp: filetype:txt+
Mit + lassen sich alle Webseiten finden, die ein bestimmtes Wort enthalten.
Bsp: +FBI +Agent-
Mit – werden nur Seiten gefunden, die ein bestimmtes Wort nicht enthalten.
Bsp: -public -userintitle:
Per Intitle: lässt sich das tag durchsuchen.
Bsp: intitle:indexintext:
Mit intext: findet man bestimmte Wörter auf einer Webseite.
Bsp: intext:Hackerinurl:
Über inurl: lassen sich Wörter in einer URL festlegen.
Bsp: inurl:etc inurl:binsite:
Mit site: kann man auf bestimmten Domains suchen.
Bsp: site:com site:deMit “” lassen sich aufeinander folgende Wörter suchen.
Bsp: “index of”
Richtige Kombination
Das die oben genannten Befehle alleine nicht viel bringen dürfte klar sein, also müssen wir kombinieren.
Bsp:
intitle:”index of” +etc
Nun dürfte alles klar sein 
Passwörter suchen und finden
Mit Google lässt sich alles finden auch Passwörter.
Versucht mal:
filetype:dat “password.dat”
filetype:ini +ws_ftp +pwd
filetype:log inurl:”password.log”
intitle:Index.of etc shadow
intitle:”Index of..etc” passwd
usw.
Web Server Detection
Mit der Hilfe von Google lassen sich auch Webserver identifizieren und finden.
Try this:
“Microsoft-IIS/5.0 server at”
intitle:”Apache HTTP Server” intitle:”documentation”
intitle:”Welcome to IIS 4.0″
“powered by openbsd” +”powered by apache”
Weitere sensible Daten
Was man nicht so alles findet…
intitle:index.of.private
intitle:index.of.secret
intitle:”index.of.secure”
Webcam
Die Webcams werden immer berümmter auch welche mit LAN oder WLAN anschluss gibt. Diese werden meinst als Überwachungskamara genutz und sind übers Web steuerbar. Auch Google bietet möglichkeiten sowelche zu finden.
inurl:”axis-cgi/mjpg”
inurl:”ViewerFrame?Mode=”
inurl:”view/index.shtml”
nurl:”axis-cgi/mjpg”
inurl:”ViewerFrame?Mode=”
inurl:”view/index.shtml”
inurl:ViewerFrame?Mode=
inurl:ViewerFrame?Mode=Refresh
inurl:axis-cgi/jpg
inurl:axis-cgi/mjpg
inurl:view/indexFrame.shtml
inurl:view/index.shtml
inurl:view/view.shtml
liveapplet
Schlusswort
Durch die immer größer werdende Informationsflut ist eine Suchmaschine wie Google die einzige Hoffnung, Ordnung in das Chaos zubringen, jedoch bringt das auch so seine Nachteile mit sich, wenn die Spiders zu gründlich sind … fast schon ein “open echelon”
So das wars, ich hoffe mein kleines Tutorial hat euch ein wenig gefallen
Ein kleines Übersichtsblatt für Google, Yahoo! und MSN gibt es hier (auf Englisch).
Viel Spaß beim Ausprobieren wünscht
Nico Werner | SecurityBlogger
Sie könnte auch interessieren:
- Content Distribution Network: Dank Google für jederman
- Update: Google Analytics rechtskonform gestalten
- Google Analytics: Sich und Besucher ausschließen
Sobald neue Informationen zu diesem Beitrag vorliegen, wird er aktualisiert.
RTL Stern TV hat die ganze Geschichte wieder aufgewärmt und dem gutgläubigen Publikum als “brandaktuell” verkauft. Ich habe das mal in meinem Blog festgehalten.
(http://www.allesblog.de/blog/2011/01/16/google-fail-bei-rtl-stern-tv/)
Danke für den manuellen Backtrack
auch im Namen von Nico.
Leider passiert das viel zu oft, das alte Themen neu skandalisiert werden.
Ich freue mich, dass du mich als “Presse” bezeichnest