Encontrar Contraseñas en Sitios Gubernalmentales utilizando gob.pe mail/u/0 filetype:pdf password
Google Hacking involucra utilizar los operadores y directivas del motor de búsqueda Google, para localizar secciones específicas de texto en sitios web.
Se procede a explicar el siguiente Google Dork
site:gob.pe mail/u/0 filetype:pdf password
La directiva site indica a Google restringir los resultados de búsqueda hacia un sitio o dominio especificado. En este caso son los dominios gob.pe
El texto mail/u/0 es el texto incluido en las URLs correspondientes a Gmail web. El propósito de utilizar este criterio es encontrar potenciales mensajes de correo electrónico de Gmail.
La directiva filetype indica a Google restringir los resultados hacia páginas cuyos nombres finalicen con el sufijo definido. En este caso pdf para encontrar archivos en este formato.
El texto password se utiliza con el propósito de encontrar potenciales referencias a contraseñas o contraseñas ya sea encriptadas o en texto plano.
Se realiza la búsqueda indicada. Al momento de realizar la presente publicación se encuentran 126 resultados.
El siguiente documento no incluye una contraseña, pero sí un nombre de usuario. Adicionalmente se puede verificar como se cumple el criterio de la URL correspondiente a Gmail.
El siguiente documento muestra contraseñas encriptadas o codificadas, relacionadas con la configuración de un router. Entre otra información sobre este dispositivo.
En el caso de contraseñas encriptadas de Cisco Tipo 7 pueden ser obtenidas utilizando un script creado en Perl. Así mismo existen servicios en linea para obtener estas contraseñas.
El siguiente documento muestra una contraseña en texto plano. Esta contraseña permitiría inferir la longitud mínima utilizada en la organización, como también la estructura de las mismas, como el reemplazar ciertas letras por número, como también la inclusión de símbolos especiales.
Así mismo muestra la URL en la cual debe ser utilizada esta contraseña.
Es importante mencionar estos son documentos públicamente factibles de ser accedidos, pues han sido indexados previamente por el motor de búsqueda Google.
Fuentes:
https://en.wikipedia.org/wiki/Google_hacking
https://infra.newerasec.com/infrastructure-testing/password-cracking/cis...
Sobre el Autor
Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/