Spiga

GOOGLE HACKING

Google Hacking
Taking Advantage of Technology

Google merupakan satu dari beberapa perusahaan sangat besar didalam bidang bisnis internet. Selain menjadi satu dari beberapa perusahaan terbesar di dunia internet ini, google juga ternyata menjadi satu dari beberapa website yang dapat dikatakan memiliki jumlah catatan pengunjung terbanyak, bagaimana tidak? Segala sesuatu yang sehubungan dengan internet sekarang ini semuannya dapat dicari melalui google, dari data mengenai masalah umum, berita, hingga informasi teknis.

Berbicara sehubungan dengan sub judul artikel ini, yang berbunyi “Taking Advantage of Technology”, dalam artikel kali ini saya akan sedikit membahas mengenai sebuah tehnik hacking yang menggunakan layanan yang diberikan daripada google ini sendiri.

Seperti yang telah kita ketahui, bahwa dengan adanya kemajuan teknologi dan semakin berkembangnya industri internet, tentu juga banyak hal hal lain yang terjadi sehubungan dengan system keamanan. Majunya sebuah jenis teknologi, tentu akan diimbangi dengan tehnik “men-dobrak” daripada system itu sendiri. Ini dapat kita lihat dalam kasus google.com sebab telah diketahui bahwa selain berguna sebagai sebuah search engine paling ampuh dengan database yang mencapai miliaran jumlahnya, google pun tidak dapat menutupi kenyataan bahwa banyak hacker yang menggunakan google.com sebagai sarana melakukan tindak “iseng-iseng” di internet, sebab selain dapat mencari data data seperti MP3, Film, Artikel, dan lain sebagainyam google pun memiliki kemampuan untuk dapat mencari data yang dapat digolongkan sebagai data rahasia.

Dengan menggunakan sedikit kemampuan unik, dan tentunya dengan menggunakan google.com sebagai sarana pencarian data, ternyata orang dapat menemukan banyak data sensitive di Internet. Data data yang dimaksud dengan data sensitive adalah data yang dapat digolongkan sebagai data pribadi, seperti nomor kartu kredit, dan password.

Menggunakan google tentunya sudah bukanlah merupakan sebuah hal yang aneh lagi bagi mereka yang sering menggunakan internet. Ditambah lagi, mengingat penggunaan daripada website google.com itu sendiri yang sangat user-friendly, penulis merasa tidak perlu untuk menjelaskan lebih lanjut mengenai metode mencari dengan menggunakan google. Dalam artikel ini kita akan membahas lebih kearah dasar metode pencarian serta pengenalan string dalam penggunaannya di google.com serta contoh contoh bentuk kalimat pencarian yang sangat membantu dalam melakukan google hacking nantinya.

Tehnik Dasar Pencarian

 Penggunaan string (+) digunakan untuk melakukan pencarian paksa terhadap huruf yang serupa. Sedangkan (-) digunakan untuk men-tidak sertakan sebuah kata dalam pencarian.
 Untuk mencari sebuah susunan kata tertentu dengan sangat tepat, maka anda perlu menggunakan string (“ “)
 Sedangkan titik (.) digunakan untuk melakukan metode pencarian text satu karakter.
 Tanda bintang melambangkan segala huruf.
 Syntax site: digunakan untuk memerintahkan google supaya melakukan pencarian dalam situs tertentu saja. Alamat situsnya dapat dimasukan sesudah tanda titik dua. (e.g site:www.th0r.name)
 Syntax filetype: digunakan untuk memerintahkan google untuk melakukan pencarian terhadap jenis file secara ter-spesifikasi. Jenis file yang ingin dicari dapat diposisikan setelah tanda titik dua.
 Syntax link: digunakan untuk memerintahkan google supaya hanya melakukan pencarian dalam hyperlinks tertentu.
 Syntax cache: digunakan untuk memerintahkan google untuk menampilkan versi daripada sebuah webpage pada saat google membukanya. Keterangan mengenai alamat website dapat ditambahkan pada bagian akhir sesudah tanda titik dua.
 Syntax intitle: dalam hal ini google diperintahkan hanya untuk mencari keterangan berdasarkan title daripada dokumen dokumen tertentu, sesuai dengan yang kita ketikan pada bagian akhir syntax setelah tanda titik dua.
 Syntax inurl: Google akan melakukan pencarian data dalam syntax URL tertentu yang diberikan setelah tanda titik dua.

Mengenal lebih dalam Syntax Untuk Google Hacking

Setelah mengenal dasar metode pencarian menggunakan google.com, sekarang kita akan beralih ke syntax yang dapat dikatakan lebih specific dan lebih komplikasi dibandingkan syntax yang telah diberikan diatas. Mari sekarang kita perhatikan syntax dibawah ini:

intitle:”Index of” passwords modified
allinurl:auth_user_file.txt
“access denied for user” “using password”
“A syntax error has occurred” filetype:ihtml
allinurl: admin mdb
“ORA-00921: unexpected end of SQL command”
inurlasslist.txt
“Index of /backup”
“Chatologica MetaSearch” “stack tracking:”

Contoh contoh yang diberikan diatas adalah contoh contoh syntax yang biasa dikatakan digunakan untuk mencari password ataupun admin page, dan juga biasa digunakan untuk mencari page yang tidak seharusnya dapat dibuka oleh user biasa. Kombinasi kombinasi lain dapat digunakan untuk melakukan pencarian yang lain dan hanya perlu dimodifikasi sesuai dengan kebutuhan dan target anda.

Amex Numbers: 300000000000000..399999999999999
MC Numbers: 5178000000000000..5178999999999999
visa 4356000000000000..4356999999999999

Sedangkan syntax yang diatas ini digunakan untuk mencari nomor kartu kredit orang menggunakan google.com

Bedah Syntax

Setelah melihat beberapa syntax yang lebih complex diatas, mari kita sedikit membahas maksud dari syntax syntax yang ada dibawah ini.

“parent directory ” /appz/ -xxx -html -htm -php -shtml -opendivx -md5 -md5sums
“parent directory ” DVDRip -xxx -html -htm -php -shtml -opendivx -md5 -md5sums
“parent directory “Xvid -xxx -html -htm -php -shtml -opendivx -md5 -md5sums
“parent directory ” Gamez -xxx -html -htm -php -shtml -opendivx -md5 -md5sums
“parent directory ” MP3 -xxx -html -htm -php -shtml -opendivx -md5 -md5sums
“parent directory ” Name of Singer or album -xxx -html -htm -php -shtml -opendivx -md5 -md5sums

Seperti yang dapat kalian perhatikan dari keseluruhan syntax. Bagian yang diganti hanya selalu pada bagian sesudah kata “Parent Directory”. Kenapa? Setelah kita pelajari dibagian awal artikel ini tadi bahwa syntax (“ “) digunakan untuk melakukan pencarian kalimat secara pasti, dan (-) digunakan untuk men-tidak ikut sertakan sebuah kata dalam keseluruhan kalimat pencarian. Sehingga dalam syntax ini dapat kita artikan secara kasar juga sebagai berikut:

 “Parent Directory” ? Pencari sedang melakukan pencarian untuk kata Parent Directory secara pasti dan tidak secara terpencar (Parent sendiri dan Directory sendiri)
 Pencari menaruh apa yang ingin dia cari. (Contoh : /appz/ adalah aplikasi. Dan MP3, berarti dia mencari mengenai hal MP3)
 -xxx ? Pencari tidak menginginkan adanya konten xxx dalam pencariannya.
 -html ? Pencari tidak menginginkan adanya konten html dalam pencariannya.
 -htm ? Pencari tidak menginginkan adanya konten htm dalam pencariannya.
 -php ? Pencari tidak menginginkan adanya konten php dalam pencariannya.
 Dan lain sebagainya.

List Syntax, serta Kombinasinya

Setelah membahas mengenai metode pencarian, syntax yang cukup komplikasi hingga beda arti syntax, pada bagian sebelumnya. Pada bagian ini kita akan membahas mengenai kombinasi syntax dan bagaimana fungsinya, serta bagaimana membaca arti syntax tersebut.
Inurl:Microsoft filetype:iso

Anda akan mencari pada setiap URL berbau kata Microsoft untuk segala file yang bertipe iso. Anda dapat merubah URL dan Filetype menjadi apapun sesuai kebutuhan anda.
“# -FrontPage-” inurl:service.pwd

Dengan menggunakan syntax ini, anda menyuruh google untuk mencarikan password frontpage untuk anda.
“http://*:*@www”

Syntax diatas digunakan untuk melakukan pencarian password pada line url anda. Dalam kasus ini anda mencari user dan password yang tulisannya apa saja, pada domain name tertentu. (Masukan nama domain tanpa .com .net / .org) - (Contoh : “http://*:*@www” neotek)
Cara lain untuk menggunakan syntax ini dalam bentuk yang berkesebalikan ialah dengan cara menuliskan syntax seperti ini:
“http://th0r:th0r@www” ? dalam kasus ini anda mencari username dan password th0r pada website yang nantinya akan anda masukan alamatnya dibagian belakang.

“sets mode +k”
Nampak seperti IRC? Memang betul. Ada banyak juga room di IRC yang menggunakan key untuk melakukan join kedalam room tersebut dan dengan menggunakan syntax ini, anda akan dapat menemukan beberapa key yang tercatat dalam log percakapan channel / room tersebut.

Allinrul: Admin mdb
Kalian akan menemukan banyak web page sehubungan dengan administrator system page.

Intitle: “Index Of” config.php
Dengan syntax diatas, kalian akan diberikan setumpuk data mengenai website website yang memiliki file config.php

Bahkan google dapat juga dijadikan ajang untuk mencari warez serial code. Katakanlah anda membutukan Windows XP Pro serial number. Anda hanya perlu membuka http://www.google.com dan mengetikan syntax sebagai berikut:
“Windows XP Professional” 94FBR

Yang dapat juga kita artikan sebagai pencarian kata Windows XP Professional tanpa di pisahkan. Sedangkan 94FBR itu sendiri adalah sebuah code yang kerapkali dimasukan ke dalam bagian daripada registration code yang ada pada kebanyakan software Microsoft. Oleh dari karena hal tersebut, penggunaan code 94FBR mungkin akan cukup membantu dalam melakukan pencarian serial code. Akan tetapi, segalanya tetap dapat dimodifikasi sesuai dengan keinginan serta keperluan anda.

Sebagai web pencarian no 1 saat ini memang belum ada duanya. teknik pencarian dengan penggunaan macam tipe dan operator membuat user dapat membuat berbagai macam variasi pencarian. kita tidak akan membahas berbagai macam operator tersebut, karena judul artikel ini mendapatkan password dan username.

TABEL KATA KATA KUNCI MENDAPATKAN USERNAMES
-------------------
KATA KUNCI | KETERANGAN
-------------------
inurl:admin inurl: |userlist Generic userlist files
-------------------
inurl:admin filetype: |asp Generic userlist files
inurl:userlist |
-------------------
inurl: |Half-life statistics file, lists username and
hlstats intext: |other information
Server Username |
-------------------
filetype:ctl |
inurl:haccess. |Microsoft FrontPage equivalent of htaccess
ctl Basic |shows Web user credentials
-------------------
filetype:reg |
reg intext: |Microsoft Internet Account Manager can
-------------------
”internet account manager” |reveal usernames and more
filetype:wab wab |Microsoft Outlook Express Mail address
|books
-------------------
filetype:mdb inurl:profiles |Microsoft Access databases containing
|profiles.
-------------------
index.of perform.ini |mIRC IRC ini file can list IRC usernames and
|other information
-------------------
inurl:root.asp?acs=anon |Outlook Mail Web Access directory can be
|used to discover usernames
-------------------
filetype:conf inurl:proftpd. |PROFTP FTP server configuration file
conf -sample |reveals
|username and server information
-------------------
filetype:log username putty |PUTTY SSH client logs can reveal
|usernames
|and server information
-------------------
filetype:rdp rdp |Remote Desktop Connection files reveal user
|credentials
-------------------
intitle:index.of |UNIX bash shell history reveals commands
.bash_history |typed at a bash command prompt; usernames
|are often typed as argument strings
-------------------
intitle:index.of |UNIX shell history reveals commands typed at
.sh_history |a shell command prompt; usernames are
|often typed as argument strings
-------------------
“index of ” lck |Various lock files list the user currently using
|a file
-------------------
+intext:webalizer +intext: |Webalizer Web statistics page lists Web user-
Total Usernames +intext: |names and statistical information
”Usage Statistics for”
-------------------
filetype:reg reg HKEY_ |Windows Registry exports can reveal
CURRENT_USER |username usernames and other information
-------------------

TABEL KATA-KATA KUNCI MENDAPATKAN PASSWORD

-------------------
KATA KUNCI | KETERANGAN
-------------------
inurl:/db/main.mdb |ASP-Nuke passwords
-------------------
filetype:cfm “cfapplication |ColdFusion source with potential passwords
name” password
-------------------
filetype:pass |dbman credentials
pass intext:userid
-------------------
allinurl:auth_user_file.txt |DCForum user passwords
-------------------
eggdrop filetype:user user |Eggdrop IRC user credentials
-------------------
filetype:ini inurl:flashFXP.ini |FlashFXP FTP credentials
-------------------
filetype:url +inurl:”ftp://” |FTP bookmarks cleartext passwords
+inurl:”@”
-------------------
inurl:zebra.conf intext: |GNU Zebra passwords
password -sample -test
-tutorial -download
-------------------
filetype:htpasswd htpasswd |HTTP htpasswd Web user credentials


-------------------
intitle:”Index of” “.htpasswd” |HTTP htpasswd Web user credentials
“htgroup” -intitle:”dist”
-apache -htpasswd.c
-------------------
intitle:”Index of” “.htpasswd” |HTTP htpasswd Web user credentials
htpasswd.bak
-------------------
“http://*:*@www” bob:bob |HTTP passwords (bob is a sample username)
-------------------
“sets mode: +k” |IRC channel keys (passwords)
-------------------
“Your password is * |Remember IRC NickServ registration passwords
this for later use”
-------------------
signin filetype:url |JavaScript authentication credentials
-------------------
LeapFTP intitle:”index.of./” |LeapFTP client login credentials
sites.ini modified
-------------------
inurl:lilo.conf filetype:conf |LILO passwords
password -tatercounter2000
-bootpwd -man
-------------------
filetype:config config intext: |Microsoft .NET application credentials
appSettings “User ID”
-------------------
filetype:pwd service |Microsoft FrontPage Service Web passwords
-------------------
intitle:index.of |Microsoft FrontPage Web credentials
administrators.pwd
-------------------
“# -FrontPage-” |Microsoft FrontPage Web passwords
inurl:service.pwd
ext:pwd inurl:_vti_pvt inurl: |Microsoft FrontPage Web passwords
(Service | authors | administrators)
-------------------
inurl:perform filetype:ini |mIRC nickserv credentials
-------------------
intitle:”index of” intext: |mySQL database credentials
connect.inc
-------------------
intitle:”index of” intext: |mySQL database credentials
globals.inc
-------------------
filetype:conf oekakibbs |Oekakibss user passwords
-------------------
filetype:dat wand.dat |Opera‚ ÄúMagic Wand‚Äù Web credentials

-------------------
inurl:ospfd.conf intext: |OSPF Daemon Passwords
password -sample -test
-tutorial -download
-------------------
index.of passlist |Passlist user credentials
-------------------
inurl:passlist.txt |passlist.txt file user credentials
-------------------
filetype:dat “password.dat” |password.dat files
-------------------
inurl:password.log filetype:log |password.log file reveals usernames,
|passwords,and hostnames
-------------------
filetype:log inurl:”password.log” |password.log files cleartext
|passwords
-------------------
inurl:people.lst filetype:lst |People.lst generic password file
-------------------
intitle:index.of config.php |PHP Configuration File database
|credentials
-------------------
inurl:config.php dbuname dbpass |PHP Configuration File database
|credentials
-------------------
inurl:nuke filetype:sql |PHP-Nuke credentials
-------------------
filetype:conf inurl:psybnc.conf |psyBNC IRC user credentials
“USER.PASS=”
-------------------
filetype:ini ServUDaemon |servU FTP Daemon credentials
-------------------
filetype:conf slapd.conf |slapd configuration files root password
-------------------
inurl:”slapd.conf” intext: |slapd LDAP credentials
”credentials” -manpage
-”Manual Page” -man: -sample
-------------------
inurl:”slapd.conf” intext: |slapd LDAP root password
”rootpw” -manpage
-”Manual Page” -man: -sample
-------------------
filetype:sql “IDENTIFIED BY” -cvs |SQL passwords
-------------------
filetype:sql password |SQL passwords
-------------------
filetype:ini wcx_ftp |Total Commander FTP passwords
-------------------
filetype:netrc password |UNIX .netrc user credentials
-------------------
index.of.etc |UNIX /etc directories contain
|various credential files
-------------------
intitle:”Index of..etc” passwd |UNIX /etc/passwd user credentials
-------------------
intitle:index.of passwd |UNIX /etc/passwd user credentials
passwd.bak
-------------------
intitle:”Index of” pwd.db |UNIX /etc/pwd.db credentials
-------------------
intitle:Index.of etc shadow |UNIX /etc/shadow user credentials
-------------------
intitle:index.of master.passwd |UNIX master.passwd user credentials
-------------------
intitle:”Index of” spwd.db |UNIX spwd.db credentials
passwd -pam.conf
-------------------
filetype:bak inurl:”htaccess| |UNIX various password file backups
passwd|shadow|htusers
-------------------
filetype:inc dbconn |Various database credentials
-------------------
filetype:inc intext:mysql_ |Various database credentials, server names
connect
-------------------
filetype:properties inurl:db |Various database credentials, server names
intext:password
-------------------
inurl:vtund.conf intext:pass -cvs |Virtual Tunnel Daemon passwords
-------------------
inurl:”wvdial.conf” intext: |wdial dialup user credentials
”password”
-------------------
filetype:mdb wwforum |Web Wiz Forums Web credentials
-------------------
“AutoCreate=TRUE password=*” |Website Access Analyzer user passwords
-------------------
filetype:pwl pwl |Windows Password List user credentials
-------------------
filetype:reg reg +intext: |Windows Registry Keys containing user
”defaultusername” intext: |credentials
”defaultpassword”
-------------------
filetype:reg reg +intext: |Windows Registry Keys containing user
”internet account manager” |credentials
-------------------
“index of/” “ws_ftp.ini” |WS_FTP FTP credentials
“parent directory”
-------------------
filetype:ini ws_ftp pwd |WS_FTP FTP user credentials
-------------------
inurl:/wwwboard |wwwboard user credentials
-------------------

mungkin temen2 ada yang ingin melihat password dari website jerman?
mungkin sebaiknya kita juga mengganti kata “password” dengan memakai bahasa jerman tentunya dibawah ini adalah tabel 5 negara beserta terjemahan password dalam bahasa masing2 negara.

------------------
BAHASA |KATA-KATA| TRANSLATE
------------------
German |password | Kennwort
Spanish |password | contraseña
French |password | mot de passe
Italian |password | parola d’accesso
Portuguese |password | senha
Dutch |password | Paswoord
------------------

setelah temen2 banyak mendapatkan password, apa yang akan anda lakukan?jangan berbuat jahat yang pasti, lihat2 saja isinya atau anda terlalu baik dengan memberitahu admin. jangan lupa sediakan john the ripper dirumah, sapa tau password yang disimpan sudah dalam keadaan terenkripsi.

~rizalzen~

Label:

Your cOmment"s Here! Hover Your cUrsOr to leave a cOmment.

Langganan: Posting Komentar (Atom)