Pengenalan
Google adalah yang paling populer dan kuat mesin pencari dunia yang memiliki kemampuan untuk menerima perintah yang telah ditetapkan sebagai input dan menghasilkan hasil yang luar biasa. Hal ini memungkinkan pengguna yang jahat seperti hacker, cracker, dan script kiddies dll untuk menggunakan mesin pencari Google secara ekstensif untuk mengumpulkan informasi rahasia atau sensitif yang tidak terlihat melalui pencarian biasa.
Dalam tulisan ini saya akan menutupi poin di bawah ini diberikan bahwa administrator atau profesional keamanan harus memperhitungkan untuk mencegah pengungkapan informasi tersebut:
- Advance Syntaxes Permintaan Pencarian Google
- Query untuk situs yang rentan atau server menggunakan syntaxes muka Google
- Mengamankan server atau situs dari invasi Google
Advance Syntaxes Permintaan Pencarian Google
Di bawah ini adalah perintah khusus dibahas berbagai Google dan saya akan menjelaskan secara singkat setiap perintah dan akan menunjukkan bagaimana hal itu dapat digunakan untuk menggali informasi penting.
[Intitle:]
The "intitle:" sintaks membantu Google membatasi hasil pencarian untuk halaman yang mengandung kata dalam judul. Misalnya, "intitle: password login" (tanpa tanda kutip) akan mengembalikan link ke halaman yang memiliki kata "login" dalam judul mereka, dan kata "password" di mana saja di halaman.
Demikian pula, jika kita harus query untuk lebih dari satu kata dalam judul halaman maka, dalam kasus yang "allintitle:" dapat digunakan sebagai pengganti "intitle" untuk mendapatkan daftar halaman yang mengandung semua kata-kata dalam judul. Sebagai contoh menggunakan "intitle: login intitle: password" sama seperti query "allintitle: login password".
[Inurl:]
The "inurl:" ialah sintaks perintah untuk membatasi pencarian yang hanya menghasilkan semua URL yang mengandung kata kunci pencarian. Sebagai contoh: "inurl: passwd" (tanpa tanda kutip) akan mengembalikan link hanya untuk halaman yang memiliki "passwd" dalam URL.
Demikian pula, jika kita harus query untuk lebih dari satu kata dalam URL maka, dalam kasus yang "allinurl:" dapat digunakan sebagai pengganti "inurl" untuk mendapatkan daftar semua URL yang mengandung kata kunci pencarian di dalamnya. Sebagai contoh: "allinurl: etc / passwd" akan mencari URL yang mengandung "etc" dan "passwd". The ("/") slash antara kata-kata akan diabaikan oleh Google.
[Site:]
"Site:" ialah sintaks perintah untuk membatasi pencarian Google untuk kata kunci tertentu di suatu situs atau domain tertentu. Sebagai contoh: "memanfaatkan situs: hackingspirits.com" (tanpa tanda kutip) akan mencari kata kunci "eksploitasi" di halaman tersebut hadir dalam semua link dari domain yang "hackingspirits.com". Tidak boleh ada spasi di antara "site:" dan "nama domain".
[Filetype:]
Ini filetype ":" ialah sintaks perintah untuk membatasi pencarian Google file di internet dengan ekstensi tertentu (ie doc, pdf atau ppt dll). Sebagai contoh: "filetype: doc site: gov rahasia" (tanpa tanda kutip) akan mencari file dengan ". Doc" pada semua domain ekstensi pemerintah dengan ". Gov" perluasan dan mengandung kata "rahasia" baik di halaman atau di "doc". file. yaitu hasil akan berisi link ke semua file dokumen kata rahasia pada situs pemerintah.
[Link:]
"Link:" ialah sintaks perintah akan bawah daftar halaman Web yang memiliki link ke halaman Web yang ditetapkan. Sebagai contoh: "link: www.securityfocus.com" akan daftar halaman Web yang memiliki link yang menunjuk ke homepage Securityfocus. Catatan tidak ada spasi di antara link ":" dan url halaman web.
[Terkait:]
The "terkait:" akan daftar halaman web yang "serupa" ke sebuah halaman web tertentu. Sebagai contoh: "related: www.securityfocus.com" akan daftar halaman web yang serupa dengan homepage Securityfocus. Catatan tidak ada ruang antara "yang terkait:" dan url halaman web.
[Cache:]
Permintaan "cache:" akan menunjukkan versi halaman web yang Google telah di cache. Sebagai contoh: "cache: www.hackingspirits.com" akan menunjukkan cache Google situs Google. Catatan tidak ada ruang antara cache ":" dan url halaman Web.
Jika Anda termasuk kata-kata yang lain dalam pencariannya, Google akan menyoroti kata-kata dalam dokumen cache. Sebagai contoh: "cache: tamu www.hackingspirits.com" akan menampilkan isi cache dengan kata "tamu" disorot.
[Intext:]
The Intext ":" sintaks pencarian untuk kata-kata dalam sebuah situs web tertentu. Hal ini mengabaikan link atau URL, dan judul halaman. Sebagai contoh: "Intext: mengeksploitasi" (tanpa tanda kutip) akan mengembalikan link hanya untuk orang-orang halaman web yang memiliki kata kunci pencarian "mengeksploitasi" di webpage-nya.
[Buku telepon:]
"Buku telepon" pencarian untuk alamat jalan US dan informasi nomor telepon. Untuk Contoh: "buku telepon: Lisa CA" akan bawah daftar semua nama-nama orang yang memiliki "Lisa" pada nama mereka dan terletak di "California (CA)". Ini dapat digunakan sebagai alat untuk hacker memetikan seseorang ingin melakukan menggali informasi pribadi untuk rekayasa sosial.
Query untuk situs yang rentan atau server menggunakan syntaxes muka Google
Well, Google query syntaxes dibahas di atas benar-benar dapat membantu orang untuk tepat pencarian mereka dan mendapatkan apa yang mereka persis cari.
Sekarang Google menjadi mesin pencari sehingga cerdas, pengguna yang jahat tidak keberatan mengeksploitasi kemampuannya untuk menggali informasi rahasia dan rahasia dari internet yang telah mendapat akses terbatas. Sekarang saya akan membahas teknik-teknik secara detil bagaimana menggali informasi pengguna berbahaya dari internet menggunakan Google sebagai alat bantu.
Menggunakan "Index of" sintaks untuk menemukan situs diaktifkan dengan Indeks browsing
Sebuah webserver dengan browsing Indeks diaktifkan berarti siapa saja dapat menelusuri direktori webserver, seperti direktori lokal biasa. Di sini saya akan membahas bagaimana seseorang dapat menggunakan "indeks" sintaks untuk mendapatkan daftar link ke webserver yang telah mendapat browsing direktori diaktifkan. Ini menjadi sumber mudah untuk mengumpulkan informasi untuk hacker. Bayangkan jika mendapatkan file password atau file lain yang tidak sensitif biasanya terlihat ke internet. Berikut beberapa contoh yang diberikan adalah dengan menggunakan mana yang dapat memperoleh akses ke banyak informasi sensitif banyak dengan mudah.
Index of / admin
Index of / passwd
Index of / password
Index of / mail
"Index of /" passwd
"Index of /" password.txt
"Index of /". Htaccess
"Index of / rahasia"
"Index of / confidential"
"Index of / root"
"Index of / cgi-bin"
"Index of /-kartu kredit"
"Index of / log"
"Index of / config"
Mencari situs rentan atau server dengan menggunakan "inurl:" atau "allinurl:"
a. Menggunakan "allinurl: winnt/system32 /" (tanpa tanda kutip) akan bawah daftar semua link pada server yang memberikan akses ke direktori terbatas seperti "system32" melalui web. Jika Anda cukup beruntung maka Anda akan mendapatkan akses ke cmd.exe di "system32" direktori. Setelah Anda memiliki akses ke "cmd.exe" dan mampu melaksanakannya maka Anda dapat melanjutkan dalam peningkatan lebih lanjut hak Anda atas server dan kompromi itu.
b. Menggunakan "allinurl: wwwboard / passwd.txt" (tanpa tanda kutip) dalam pencarian Google akan daftar ke semua link ke server yang rentan terhadap "kerentanan Password WWWBoard". Untuk mengetahui lebih lanjut tentang kerentanan ini Anda dapat melihat di link berikut:
http://www.securiteam.com/exploits/2BUQ4S0SAW.html
c. Menggunakan "inurl: bash_history". (Tanpa tanda kutip) akan bawah daftar semua link pada server yang memberikan akses ke ". Bash_history" file melalui web. Ini adalah file sejarah perintah. File ini berisi daftar perintah yang dieksekusi oleh administrator, dan kadang-kadang mencakup informasi yang sensitif seperti password diketik oleh administrator. Jika file ini dikompromikan dan jika berisi unix dienkripsi (atau * nix) password maka dapat dengan mudah retak menggunakan "John The Ripper".
d. Menggunakan "inurl: config.txt" (tanpa tanda kutip) akan bawah daftar semua link pada server yang memberikan akses ke "config.txt" file melalui web. Berkas ini mengandung informasi sensitif, termasuk nilai hash dari password administrasi dan kredensial database otentikasi. Untuk Contoh: Sistem Manajemen Pembelajaran Ingenium adalah aplikasi berbasis web untuk sistem berbasis Windows yang dikembangkan oleh Click2learn, Inc Ingenium Sistem Manajemen Pembelajaran versi 5.1 dan 6,1 menyimpan informasi sensitif insecurely di file config.txt. Untuk informasi lebih lanjut silakan lihat link berikut:
http://www.securiteam.com/securitynews/6M00H2K5PG.html
cari serupa lainnya menggunakan "inurl:" atau "allinurl:" dikombinasikan dengan syntaxs lain
inurl: admin filetype: txt
inurl: admin filetype: db
inurl: admin filetype: cfg
inurl: mysql filetype: cfg
inurl: passwd filetype: txt
inurl: iisadmin
inurl: auth_user_file.txt
inurl: orders.txt
inurl: "wwwroot / *."
inurl: adpassword.txt
inurl: webeditor.php
inurl: file_upload.php
inurl: gov filetype: xls "terbatas"
indeks ftp. mdb allinurl: / cgi-bin / mailto
Mencari situs rentan atau server dengan menggunakan "intitle:" atau "allintitle:"
a. Menggunakan allintitle [: "index of / root"] (tanpa kurung) akan bawah daftar link ke web server yang memberikan akses ke direktori terbatas seperti "root" melalui web. Direktori ini kadang-kadang berisi informasi sensitif yang dapat dengan mudah diambil melalui sederhana web permintaan.
b. Menggunakan allintitle [: "index of / admin"] (tanpa kurung) akan bawah daftar link ke situs-situs yang telah mendapat indeks browsing diaktifkan untuk direktori terbatas seperti "admin" melalui web. Sebagian besar aplikasi web kadang-kadang menggunakan nama-nama seperti "admin "untuk menyimpan kredensial admin di dalamnya. Direktori ini kadang-kadang berisi informasi sensitif yang dapat dengan mudah diambil melalui permintaan web sederhana.
Lain yang serupa pencarian menggunakan "intitle:" atau "allintitle:" yang dikombinasikan dengan syntaxs lain
intitle: "Index of". sh_history
intitle: "Index of". bash_history
intitle: "index of" passwd
intitle: "index of" people.lst
intitle: "index of" pwd.db
intitle: "index of" bayangan etc /
intitle: "index of" spwd
intitle: "index of" master.passwd
intitle: "index of" htpasswd
intitle: "index of" Anggota ATAU akun
intitle: "index of" user_carts ATAU user_cart
allintitle: filetype sensitif: doc
allintitle: Pembatasan filetype: mail
allintitle: Pembatasan filetype: doc site: gov
Pertanyaan lain yang menarik Cari
Untuk mencari situs rentan terhadap Situs Cross-Scripting (XSS) menyerang:
allinurl: / scripts/cart32.exe
allinurl: / CuteNews / show_archives.php
allinurl: / phpinfo.php
Untuk mencari situs rentan terhadap serangan SQL Injection:
allinurl: / privmsg.php
allinurl: / privmsg.php
Mengamankan server atau situs dari invasi Google
Di bawah ini diberikan adalah tindakan keamanan yang administrator sistem dan profesional keamanan harus memperhitungkan untuk mengamankan informasi penting tersedia secara online, jatuh ke tangan yang salah:
- Keamanan Install patch terbaru yang tersedia sampai tanggal untuk aplikasi dan juga sistem operasi yang berjalan pada server.
- Jangan memasukkan informasi penting dan sensitif pada server tanpa sistem otentikasi yang tepat yang dapat langsung diakses oleh siapapun di internet.
- Nonaktifkan browsing direktori pada webserver. Direktori browsing harus diaktifkan untuk folder tersebut web yang Anda ingin memberikan akses kepada setiap orang di internet.
- Jika Anda menemukan link ke server saya dibatasi Anda atau situs dalam hasil pencarian Google maka harus dihapus. Kunjungi link berikut untuk keterangan lebih lanjut:
http://www.google.com/remove.html
- Akses anonim Nonaktifkan dalam webserver melalui internet ke direktori sistem dibatasi.
- Instal penyaringan tool seperti URLScan untuk server menjalankan IIS sebagai webserver.
Kesimpulan
Kadang-kadang peningkatan kecanggihan dalam sistem menciptakan masalah baru. Google begitu canggih dapat digunakan oleh Tom, Dick & Harry di internet untuk menggali informasi sensitif yang biasanya tidak terlihat atau terjangkau kepada siapa pun.
Pilihan hanya tersisa untuk profesional keamanan dan administrator sistem untuk mengamankan sistem mereka dan mengeras dari invasi un-resmi tersebut.
sintaks Code:
filetype:htpasswd htpasswd
intitle:"Index of” “.htpasswd” -intitle:"dist” -apache -htpasswd.c
index.of.private (algo privado)
intitle:index.of master.passwd
inurl:passlist.txt (para encontrar listas de passwords)
intitle:"Index of..etc” passwd
intitle:admin intitle:login
“Incorrect syntax near” (SQL script error)
intitle:"the page cannot be found” inetmgr (debilidad en IIS4)
intitle:index.of ws_ftp.ini
“Supplied arguments is not a valid PostgreSQL result” (possible
debilidad SQL)
_vti_pvt password intitle:index.of (Frontpage)
inurl:backup intitle:index.of inurl:admin
“Index of /backup”
index.of.password
index.of.winnt
inurl:"auth_user_file.txt”
“Index of /admin”
“Index of /password”
“Index of /mail”
“Index of /” +passwd
Index of /” +.htaccess
Index of ftp +.mdb allinurl:/cgi-bin/ +mailto
allintitle: “index of/admin”
allintitle: “index of/root”
allintitle: sensitive filetype:doc
allintitle: restricted filetype :mail
allintitle: restricted filetype:doc site:gov
administrator.pwd.index
authors.pwd.index
service.pwd.index
filetype:config web
gobal.asax index
inurl:passwd filetype:txt
inurl:admin filetype:db
inurl:iisadmin
inurl:"auth_user_file.txt”
inurl:"wwwroot/*.”
allinurl: winnt/system32/ (get cmd.exe)
allinurl:/bash_history
intitle:"Index of” .sh_history
intitle:"Index of” .bash_history
intitle:"Index of” passwd
intitle:"Index of” people.1st
intitle:"Index of” pwd.db
intitle:"Index of” etc/shadow
intitle:"Index of” spwd
intitle:"Index of” master.passwd
intitle:"Index of” htpasswd
intitle:"Index of” members OR accounts
intitle:"Index of” user_carts OR user _cart
Rabu, 09 Juni 2010
Minggu, 28 Maret 2010
as_salaamualaikum.
Pada blog kali ini, saya akan membagi kepada anda semua seluruh hasil dari browsing yang telah lama saya tekuni hingga saat ini.
Banyak situs di internet yang menyediakan ribuan downloadan aplikasi maupun multimedia gratis di situs mereka, bahkan ada juga yang menyediakan, tapi anda harus menggeluarkan biaya untuk dapat mendownload aplikasi tersebut. Pilihan kini ada ditangan anda. Dan tentunya, anda pasti akan memilih aplikasi maupun multimedia gratis untuk alat multimedia anda. Pada pembahasan kali ini, saya akan memberi solusi bagi anda yang kesulitan dalam mengubah sebuah format file musik ke format mp3.
Istilah kata musik, saat ini mungkin sudah bukanlah suatu istilah yang asing di telinga kita, seluruh penjuru dunia baik di desa maupun dikota, rata-rata pasti pernah mendengar istilah atau kata musik, bahkan sebagian dari mereka telah menjadikannya sebuah kebutuhan dalam kehidupannya. Perangkat pemutar musik pun kini telah banyak di edarkan dan menduduki peringkat kedua di bursa pasar setelah kebutuhan manusia untuk kelangsungan hidupnya. Diantara pemutar musik yang kini telah banyak beredar, kita akan mengambil satu contoh saja, yaitu vcd player. Siapa sih saat ini yang tidak pernah mendengar kata vcd player, hampir merata di setiap rumah memiliki alat elektronik tersebut, diantara fungsi utama vcd player adalah memutar disc atau kaset rekaman video atau video klip dalam ".dat file" nah pembahasan kali ini kita akan merubah file tersebut ke file mp3, yang merupakan file musik pada umumnya.
Baiklah, langsung saja kita mulai pembahasannya :
=>Pertama-tama, siapkan komputer anda dengan koneksi internet aktif, dan cd room aktif. Kalau anda tidak memiliki komputer yg aktif dengan koneksi internet, anda juga bisa mendownload aplikasinya dari warnet yang ada di sekitar anda.
=>Siapkan kaset vcd yang akan anda ubah file nya.
=>Siapkan juga secangkir kopi susu manis dan dji sam soe refill, untuk menemani anda saat proses pendownload an yang mungkin akan memakan waktu sedikit agak lama.
=>download aplikasinya disini(audio maker.exe)
=>nikmati kopi susu dan dji sam soe refill anda selama proses pendownload an berjalan.
=>setelah melakukan proses download, silahkan install aplikasi yang telah anda download tadi.
=> jalankan aplikasi audio maker. Dan mulailah melakukan settingan audio sesuai selera anda. Untuk hasil permanen dengan kualitas mp3 terbaik, gunakan settingan defaul audio maker.
=>masukkan disc musik ke dalam drive cd room anda, dan browse "mpegap" dari file disc tersebut.
=>mulailah menambah kan file musik ke program audio maker anda, dengan meng klik icon "add", lalu browse cd room drive dan tambahkan file musik yang anda ingin kan. Jika anda kesulitan dalam menambahkan file, anda dapat mengklik file langsung, tanpa melepaskan klik an anda dari file di folder mpegap di cd room drive langsung ke daftar list audio maker. Dan mulailah melakukan pengompresan. Untuk aplikasi ini, berhubung masih trial version, anda hanya dapat mengcomvert 5 file saja, dalam sekali pengoprasian aplikasi audio maker. Tapi itu bukan berarti anda hanya akan mendapat kan 5 file musik saja, tapi ribuan, bahkan jutaan lagu dapat anda compress dalam aplikasi ini. Hehehehehehehehehe
=>klit navbox "later" dalam kotak dialog pengunaan audio maker. Perintah ini akan selalu muncul di setiap proses pengubahan file dimulai.
=>nikmati kembali kopi susu dan dji sam soe refill anda selama proses comvert berlangsung.
=>setelah anda selesai mengubah 5 file anda pertama, tutup aplikasi audio maker anda dengan meng klik icon "x" di sisi kanan atas toolbar audio maker dan buka kembali aplikasi untuk mengompres file-file lainnya. Dan lakukan hal ini dengan skema yang sama seperti diatas dengan berulang.
Setelah anda selesai mengubah semua file yang anda kehendaki, mulailah menikmati hasil dari apa yang telah anda lakukan. Hehehehehehe. Untuk file mp3, anda dapat menambahkannya ke perangkat multimedia anda yang lain, seperti; handphone, Ipod, dan lain sebagainya.
Silahkan bersuka ria dalam alat-alat multimedia anda saat ini. Dan untuk trik-trik lainnya, akan kita bahas dalam waktu dan kesempatan lain. Semua hal tentang perangkat multimedia anda akan saya posting dalam halaman blog yang sederhana ini.
wassalam.
Langganan:
Komentar (Atom)
