PDF de programación - OSINT - Open Source Intelligenc

OSINT – Open Source Intelligence

The power of the Search Engine Attacks



El presente manual muestra desde un punto de vista práctico cómo emplear los diferentes buscadores de
contenidos disponibles en internet para realizar labores de inteligencia de fuentes abiertas (OSINT)
mediante taxonomías y ontologías.



La Inteligencia de Fuentes Abiertas (OSINT) es aquella recopilada a partir de fuentes disponibles al
público. En la comunidad de inteligencia, el término "abierto" se refiere a las fuentes abiertas, disponibles
al público (a diferencia de las fuentes privadas o semiprivadas). De esta forma, se podría definir OSINT
como una forma de recolectar información y datos a los que aplicarle una cierta inteligencia lo cual
implica encontrar, seleccionar y adquirir información desde fuentes públicas, como buscadores, para
poder analizarla y obtener gran cantidad de información acerca de una determinada temática.

El alcance del manual se circunscribe a Google, Bing, Yahoo y, por supuesto, Shodan, centrándose
principalmente en este último y Google



Para poder realizar búsquedas avanzadas que permitan obtener ciertos datos de valor e necesario definer
primero los operadores/comandos de los diferentes buscadores.

Google

En el caso de Google los principales son los siguientes:

-

site:

o Permite definir una búsqueda que muestre los resultados de un sitio en

concreto. Por ejemplo:
site: highsec.es

Mostrará resultados dentro del dominio de highsec.es

-

intitle:

o Buscará la cadena que le sea pasada como parámetro, pudiendo estar sólo

parte de dicha cadena en el título. Por ejemplo.

intitle:"index of /"

Esto permitirá buscar servidores que tengan un listado de archivos mediante
un index of.

-

allintitle:

o Similar al anterior pero indicando de forma expresa y obligatoria que toda la

cadena que sea definida tiene que aparecer en el título. Por ejemplo:

allintitle:"index of /admin/"

Buscará

todos

los

resultados

que

coincidan

exactamente

Universidad Autónoma de Madrid, Campus de Cantoblanco, C/ Tomás y Valiente, nº 11, Edificio

THIBER, the cybersecurity think tank

C. Tercera Planta 28049 MADRID (ESPAÑA)

[email protected]



-

inurl:



o Permitirá buscar una determinada cadena dentro de la URL. Por ejemplo:

inurl:"c99.php"



Lo cual nos mostrara los servidores que tengan instalada una shell c99 en php.

-

allinurl:

o Similar al anterior "all", pues la diferencia con inurl es que en este comando

todo debe aparecer obligatoriamente en la URL. Por ejemplo:

allinurl:"and+1=0+union+select+1"

Esta query devolverá páginas que muy posiblemente sean vulnerables a un SQLi.

-

intext:

o Permite hacer una búsqueda de la cadena en el texto de los resultados, ni

en el título, ni en URL, etc... Por ejemplo:
intext:"@gmail.com password="

Este resultado nos podría mostrar algunas cuentas de correos de Google con su
usuario/email y contraseña.

-

allintext:

o Permitirá buscar los resultados que solo contengan de forma exacta lo que

hemos buscado. Por ejemplo:

allintext:"@yahoo.es:pass"

Este comando nos podría permitir buscar algunas cuentas de yahoo.es.

-

cache:

o Permitirá ver una página en la cache de Google, por lo que no será
necesario conectarse a la página real. Esto es muy práctico en la fase de
fingerprinting en un test de intrusión. Por ejemplo:

cache:highsec.es

Esto mostraría la página de highsec.es que tiene Google en cache.

-

info:

o Proporcionará cierta información acerca de un dominio. Por ejemplo:

info:highsec.es

Donde solicitará si queremos mostrar la página en cache, si queremos ver
webs similares, si queremos ver aquellas páginas que tengan un enlace a
highsec.es, si queremos buscar las diferentes páginas de HighSec o si
queremos buscar
frase highsec.es.

las web donde aparezca

la

Universidad Autónoma de Madrid, Campus de Cantoblanco, C/ Tomás y Valiente, nº 11, Edificio

THIBER, the cybersecurity think tank

C. Tercera Planta 28049 MADRID (ESPAÑA)

[email protected]



-

link:



o Permite buscar las páginas que tienen un determinado link. Por ejemplo:

link: www.highsec.es

Es importante recalcar que buscara SOLO ese link, que sería distinto de highsec.es



-

ext:

 Buscará la cadena introducida como la extensión del archivo. Por ejemplo:

ext:php3

Esto nos permitirá hacer búsquedas donde los resultados sean archivos
.php

-

filetype:

o Similar al anterior, pero Google encontrará unos determinados tipos bien

conocidos como: pdf, doc, docx, xml, txt...

filetype:txt inurl:robots

Esta búsqueda sacará los archivos robots.txt

-

'-' (El menos):

o Permitirá negar un determinado operando. Por ejemplo:

-filetype:pdf

Buscará cualquier resultado menos archivos pdf.

-

'||':

o Permitirá añadir varias condiciones (Es un OR). Por ejemplo:

ext:txt || ext:sql intext:password intext:username

Esto sería un comando que permitiría obtener algunos archivos con usuarios y
contraseñas que tengan extensión txt o sql.

-

'&&':

o Permite hacer un AND de dos condiciones, es decir que tiene que

cumplirse las dos en los resultados a buscar. Por ejemplo:

ext:txt || ext:sql intext:password && intext:username
o
(ext:txt || ext:sql) (intext:password && intext:username)

Esta búsqueda sería similar a la anterior pero se impone como condición que
tiene que aparecer tanto password como username en el texto.


La Google Hacking DataBase (GHDB) es un proyecto que surgió hace algunos años donde la
gente comparte sus dorks personalizados, nombre que se le da a las búsquedas avanzas que
hacen uso de operadores para conseguir una cierta información.

http://www.exploit-db.com/google-dorks/
http://www.hackersforcharity.org/ghdb/

Existen gran variedad de dorks, pero suelen ser deprecated porque, aunque sin duda supone un
buen punto de partida para obtener una visión general de cómo s e podría plasmar en un
comando de Google una búsqueda completa en internet de una forma precisa, aunque como se

Universidad Autónoma de Madrid, Campus de Cantoblanco, C/ Tomás y Valiente, nº 11, Edificio

THIBER, the cybersecurity think tank

C. Tercera Planta 28049 MADRID (ESPAÑA)

[email protected]

verá más adelante, es cuestión de definir bien los criterios y parámetros de búsqueda.



Antes de profundizar en el uso de los dorks y mostrar el proceso de definición que un analista
debería seguir, se definirá el término "Google Hacking", siendo uno de los métodos principales
que utilizan/utilizaban algunos grupos como Lulz o Anonymous para llevar a cabo sus ataques.
Esto se debe a que pueden llegar recopilar gran cantidad de información de la víctima como
pueden ser cuentas de redes sociales, información confidencial y un sin fin de datos de utilidad.

En estas circunstancias, es realmente práctico usar la caché de Google para visitar una página,
ya que de esta forma no se realizará una conexión directa con el objetivo y por lo tanto no se
dejará ningún rastro.

En este punto se muestra los distintos vectores de información accesible a un potencial atacante
como cuentas de correo, servidores mal configurados, documentos confidenciales, páginas que
han sido hackeadas, localizar vulnerabilidades web, cámaras IP, etc.

En el caso de las cuenta de correos, cabría preguntarse qué tipo de archivos podrían estar
almacenados en unas cuentas en un servidor de correo, como podrían ser archivos sql, log y xls.
Tras este punto, se debería pensar cómo buscar un correo y después cómo localiza una
contraseña dentro de un fichero. Esta podría ser una de las cadenas de búsqueda:


ext:sql (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password ||
pass)

Donde se estaría buscando en un archivo sql las cadenas “@hotmail.”, “@gmail.” y
“@outlook.”, lo cual permitirá encontrar cuentas de cualquier país ya sean @gmail.es o
@gmail.com por ejemplo. Y por último se procede a realizar la búsqueda en el texto que
aparezca ‘password’ o ‘pass’.

Como se puede comprobar, aparecen algunos resultados:

Ahora se selecciona el enlace deseado y se visualiza a través de la caché del propio navegador,
de tal forma que únicamente se quedara registrado en Google:



Universidad Autónoma de Madrid, Campus de Cantoblanco, C/ Tomás y Valiente, nº 11, Edificio

THIBER, the cybersecurity think tank

C. Tercera Planta 28049 MADRID (ESPAÑA)

[email protected]





Este extremo podría seguir desarrollándose para dar lugar a otros dorks como por ejemplo:

Cuentas de correo:
ext:sql (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password || pass)
ext:xls (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password || pass)

Cuentas de correo de gobiernos:



ext:sql (intext:@gov.* || intext:@gob.*) (intext:password || pass)
ext:xls (intext:@gov.* || intext:@gob.*) (intext:password || pass)
(ext:sql ||ext:xls) (intext:@gov.* || intext:@gob.*) (intext:password || pass)

Cuentas de correo generales:
(ext:sql ||ext:xls) (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.* || intext:@gov.*
|| intext:@gob.*) intext:password

ext:log (intext:@hotmail.* ||
intext:@gob.*) intext:password

intext:@gmail.* || intext:@outlook.* ||

intext:@gov.* ||



Cuentas de correo en los logs:

ext:log (intext:@hotmail.* ||
intext:@gob.*) intext:password

intext:@gmail.* ||

intext:@outlook.* ||

intext:@gov.* ||


A continuación se muestran algunos ejemplos de có