FX53.it

Rubare le password con Google

Basta aprire il nostro amato motore di ricerca Google,ed effetuiamo una ricerca utilizzando la stringa (intitle:index.of.etc) otterremo un elenco di link a server Unix che consentono di accedere alla cartella etc del file system.In etc si trova il file passwd,che contiene la password e gli account validi per poter accedere al sistema. Prima di procedere con il recupero delle password ,verifichiamo che il server sia accessibile da internet con il servizzio telnet.Per farlo andiamo in Start/Esegui,e digitiamo cmd e clicchiamo su OK. Poi digitiamo telnet seguito dal nome del sito,e premiamo Invio!prendiamo in considerazione solo i server che rispondono,chiedendoci il Login con nome e password! segnamoceli e chiudiamo la finestra premendo sulla crocetta in alto a destra. Se il server risponde al Telnet,clicchiamo sul link trovato con google e visualizziamo il contenuto della cartella etc e troviamo il file passwd,per aprirlo col browser. Questo file contiene per ogni riga un nome per il login,e la corrispondente password cifrata insieme ad altri dati,che al momento non ci interessano!!per salvare il file passwd sul nostro computer,clicchiamoci sopra col tasto destro e scegliamo “salva con nome“selezioniamo una cartella dove salvarlo e clicchiamo salva. Per decifrare la password dovremo utilizzare il tool John the Ripper che troviamo su www.openwall.com/john scegliamo il nostro sistema operativo,e scarrichiamo il tool.Poi dal link ftp://ftp.openwall.com/pub/wordlists/ scarichiamo il dizzionario con tutte le password piu comuni,poi installiamo il programma John the Ripper e mettiamo il dizzionario delle password che abbiamo scaricato,nella stessa cartella del software. Ora per decifrare le password dei server che abbiamo trovato con Google,andiamo in Start/Esegui,e digitiamo cmd dando OK! ora scriviamo CD seguito dalla cartella dove abbiamo installato il programma,e clicchiamo invio. Avviamo la decifrazione digitando john-wordfile;all.lst passwd, dove all.lst è il dizzionario,ora ci basta premere invio. Vi faccio presente che l’elaborazione di molte password,puo richiedere molte ore,se non giorni!! Sul video il programma segnala le password trovate (tra parentesi il login) e quelle che sta provando a decifrare!! comunque le password trovate vengono salvate all’interno dell file john.pot.Una volta che abbiamo le password,non ci resta che provarle collegandoci al sito con telnet!e come abbiamo fatto in precedenza inseriamo il login (nome&password) e in caso di acesso positivo,siamo pronti a comandare il sistema da remoto come meglio ci conviene.

PS.Per chi non avesse molta pratica con i comandi di telnet!ecco una piccola guida per iniziare e aproffondire l’argomento.

Reperire informazioni su chiunque con Google

Per trovare e reperire informazioni su una persona utilizzando google, basta digitare il suo nome e cognome inclusi tra virgolette (ad esempio “Mario Rossi”).La ricerca può avvenire partendo da una persona che conosciamo oppure ne prendiamo una a caso scovata su un sitoWeb o sull’elenco telefonico.Gogle ci fornira come risultato tutte le pagineWeb che faranno riferimento a quella persona o ai suoi omonimi che stiamo cercando.

Gli hacker o meglio i cracker utilizzano delle stringhe su Google per trovare vulnerabilità sul web.Possiamo consultare un vastissimo Database per il Google hacking al link di GHDB.

Alcuni esempi di Query Google Hacking

Questa stringa vi farà apparire tutti i siti dove le password dei server Linux sono senza protezione.
intitle:index.of passwd passwd.bak
Questa cerca tutti i PHP-NUKE che ancora non hanno l’account administrator, quindi prendere il pieno controllo è un gioco da ragazzi.
"There are no Administrators Accounts" inurl:admin.php -mysql_fetch_row
Vi appariranno tutti i portali con le directory sprotette.

intitle:index.of "parent directory"
Con questa vedrete tutti i portali con “httpasswd ” sprotetto.
filetype:htpasswd htpasswd

Altre due query NO HACKING per divertirvi

Troverete tantissime webcam da controllo remoto,e sono verramente tante le WebCam nel mondo da cui si puo sbirciare tranquillamente.
intitle:"Live View / - AXIS"
Questa stringa trova delle liste di mp3 da scaricare dal browser, basta cambiare “Nome artitsta” col nome del cantante o gruppo che volete.
intitle:”Nome Artista” “Index of mp3″ mp3

Buon Divertimento a tutti! Ciaux.