Utilizar Proxys para realizar Google Hacking con SearchDiggity

  • Posted on: 1 July 2014
  • By: ReYDeS

Algunas veces, la mejor defensa es una buena ofensiva. Las herramientas de ataque de Bishop Fox nivelan el campo de juego permitiendo a los clientes encontrar divulgación de información y vulnerabilidades expuestas antes de que otros lo hagan. Este arsenal de herramientas de ataque se benefician de Google, Bing y otros motores de búsqueda populares.

SearchDiggity permite realizar “Google y Bing” Hacking a través de una lista de proxys abiertos, para prevenir el bloqueo por los mecanismos de detección de bots.

En Internet existen varios sitios web que proporcionan listados de proxys. Para la presente práctica se ha procedido a guardar la página html de uno de estos sitios web, para luego aplicar unos sencillos comandos en GNU/Linux, y obtener un listado de proxys en un formato adecuado.

$ grep -i IPDecode proxys.html | cut -d ">" -f 5,7 | sed 's/<\/td>/:/g' | sed 's/<\/td//g' > /tmp/listaproxytmp
$ grep -iv script /tmp/listaproxytmp > /tmp/listaproxys1.txt

Se ejecuta Search Diggity, para luego hacer clic en la pestaña de nombre “Google”.

Para configurar la lista de proxys hacer clic en la opción “Proxies”, para luego retirar el check en la opción “Auto”.

Se muestran nuevas opciones para agregar manualmente los proxys o importarlos desde un archivo. Para la presente práctica se importará la lista de proxys desde un archivo..

Hacer clic en el botón de nombre “Import” o Importar. Luego de lo cual se presentará una nueva ventana para seleccionar el archivo pertinente.

Luego de seleccionar el archivo, los proxys importados serán expuestos en el panel superior derecho.

En el panel inferior izquierdo es factible seleccionar una gran cantidad y diversidad de "dorks" o búsquedas a realizar utilizando Google.

Para definir el objetivo de evaluación, escribir el dominio objetivo en el recuadro ubicado a lado derecho del botón de nombre “Add” o Añadir, en la opción “Sites/Domains/IP Ranges” o Sitios/Dominios/Rangos de IPs.

Además de ingresar los objetivos de evaluación manualmente, también es factible importar una lista de objetivos desde un archivo.

Para iniciar el escaneo hacer clic en el botón de nombre “SCAN” o ESCANEAR. El procedimiento y sus resultados serán expuestos en el panel inferior.

Search Diggity es una herramienta con diversas funcionalidades. Un buen punto de inicio para conocer sus capacidades es la ayuda que proporciona la herramienta, la cual puede ser accedida mediante la opción “Help -> Contents” o Ayuda -> Contenidos.

Fuentes:

http://www.reydes.com/d/?q=Instalacion_de_SearchDiggity
http://www.bishopfox.com/resources/tools/google-hacking-diggity/attack-t...
http://www.freeproxylists.net/
http://en.wikipedia.org/wiki/Google_hacking
http://www.hackersforcharity.org/ghdb/
http://www.exploit-db.com/google-dorks/

Sobre el Autor


Alonso Eduardo Caballero Quezada - ReYDeS
Instructor y Consultor Independiente en Ciberseguridad
WhatsApp: https://wa.me/51949304030
Correo Electrónico: ReYDeS@gmail.com
Twitter: https://twitter.com/Alonso_ReYDeS
Youtube: https://www.youtube.com/c/AlonsoCaballero
LinkedIn: https://pe.linkedin.com/in/alonsocaballeroquezada/


Libro Fundamentos de Hacking Web 2ed 2024
Libro Fundamentos de Hacking Ético 2ed 2024