Google Hacking

Aus IT-Forensik Wiki

Unter dem Begriff Google Hacking versteht man Angriffe über die Suchmaschine Google unter Zuhilfenahme zusätzlicher Suchoperatoren zum Zwecke der Informationsbeschaffung. Über umfangreiche, detaillierte Suchbefehle können dementsprechend mehr Informationen aus der Google-Datenbank gewonnen werden als bei gängigen Suchanfragen. Diese Kombinationen aus Google-Operatoren und Suchbegriffen werden auch als Google Dorks (engl. Trottel, Idiot) bezeichnet.

Hat ein Webseitenbetreiber ein Verzeichnis nicht von der Indexierung ausgenommen oder zukünftig unbenötigte Dateien nicht gelöscht, besteht die Möglichkeit, dass nicht für die Öffentlichkeit bestimmte Dateien von dem Suchmaschinencrawler indexiert werden und somit in der Google-Datenbank landen.

Indexierte Informationen können vielfältige Sicherheitslücken aufzeigen, beispielsweise die Ausgabe von Fehlermeldungen mit vertraulichen Informationen, Adminoberflächen, Zugangsdaten oder sogar direkten Zugriff auf Datenbanksysteme. Weiterhin bietet die Informationsbeschaffung über Google Hacking potenziellen Angreifern den Vorteil, nicht direkt mit dem Ziel interagieren zu müssen, wodurch z. B. das direkte Besuchen der Website entfällt. Der Angreifer verringert somit das Hinterlassen potenzieller Spuren in Serverlogs und ähnlichem (Passive Aufklärungsphase).

Um die Suchergebnisse zu verfeinern, kann nutzerseitig die Erweiterte Suche aufgerufen werden, bei welcher der Nutzer die gewünschten Optionen über ein Formular auswählt. Das Aktivieren der Optionen ist aber auch durch das Nutzen entsprechender Schlüsselwörter in der Google-Suchleiste möglich. Hierbei können komplexere Suchabfragen als durch das Nutzen des Formulars generiert werden. Wichtige Suchoperatoren sind unter anderem:

  • "" - durch das Schreiben eines Begriffs in doppelte Anführungszeichen wird nach genau diesem Begriff gesucht.
  • intitle: sucht einen angegebenen Begriff im Titel der Seiten.
  • inurl: sucht nach dem angegebenen Begriff im URL der Seiten.
  • site: beschränkt die Suche auf eine bestimmte Website.
  • filetype: beschränkt die Suche auf bestimmte Dateien, z.B. doc oder PDF
  • info: liefert eine Informationsübersicht über die angebene Webseite

Die folgende Anfrage bezieht beispielsweise verschiedene Operatoren mit ein:

// Sucht nach öffentlich zugänglichen phpMyAdmin Instanzen
"phpMyAdmin" "running on" inurl:"main.php"

Um bereits vorgefertigte und auf spezielle Anwendungsfälle zugeschnittene Google Dorks zu erhalten, bietet sich das Nutzen der sogenannten Google Hacking Database (GHDB) an. Diese stellt Suchabfragen für eine Vielzahl von Szenarien zur Verfügung. Entwickelt wurde die Google Hacking Database von Johnny Long, gehostet wird sie aktuell (Februar 2021) von Offensive Security, den Entwicklern von Kali Linux.

Die in der GHDB verfügbaren Anfragen müssen für eine erfolgreiche Nutzung und gezielte Analyse auf die jeweilige Zieladresse (Target) eingeschränkt werden.

Um gezielt nach Datenbanken zu suchen, stellt die GHDB u. a. folgende Anfragen bereit:

// Sucht nach öffentlichen MySQL Konfigurationsordnern 
// (GHDB-ID: 5585)
intitle:"index of" „/etc/mysql/"
// Sucht nach öffentlichen PostgreSQL Konfigurationen 
// (GHDB-ID: 6057)
intitle:"index of" "postgresql.conf"
// Sucht nach öffentlichen MySQL Logs
// (GHDB-ID: 6569)
intitle:"index of" "mysql.log" | "mysql.logs"
// Sucht nach öffentlich zugänglichen Ordnern mit SQL Backups 
// (GHDB-ID: 5235)
intext:backup.sql intitle:index.of

Quellen