Google Hacking o Browser Hacking

Cuando hablamos de Google Hacking o browser hacking no nos estamos refiriendo a hackear Google, nos referimos a una poderosa herramienta, la cual nos ayudará mucho en primera instancia para recopilar información sobre el sistema físico.

Esta herramienta es simplemente una serie de "comandos" que ponemos en el buscador, para poder filtrar resultados y averiguar si cualquier página se ha dejado abierto cualquier acceso, ya sea a su código PHP, documentos PDF y demás recursos que, según lo que encontremos al descubierto.

Podremos saber cómo empezar el ataque, ya sea mirando en PHP y descubriendo que su DB está mal protegida y así aplicando SQLi o bien, en el caso más extremo, cualquier documento PDF que tenga unos metadatos que nos den info sobre el atacado.

Recursos útiles

Aquí os dejaré unos recursos para que os vayáis familiarizando con la herramienta:

Caso práctico

Ahora os pasaré a explicar un caso práctico en el cual podríamos aplicarlo en una prueba real.

Por ejemplo, el más básico que se podría hacer:

intitle: "index of" site:.es

Veremos que nos da como salida los siguientes resultados.

Aquí veremos la serie de recursos que hemos sacado, son muy globales pero de ejemplo sirve y ahora veremos, el resultado de por ejemplo el primer enlace que encontramos.

Aquí tendremos una serie de documentos que sólo están en el back-end de la página. Comentar también que si estamos haciendo algún tipo de trabajo de pentesting y no queremos ser descubiertos, es recomendable cargar siempre las páginas del sitio en cuestión desde caché. Esto cargará lo que tiene almacenado Google y no mandará ninguna petición a la web que estemos atacando.

En próximos post, puede que lo mencione como recurso complementario a otros ataques.

Espero que os haya servido, un saludo.