jueves 16 de octubre de 2008

Google Hacking Database --> Archivos UDL y LDIF

Google Hacking Database (GHDB) - Recopilando datos sensibles en la red

El GHDB es algo no muy nuevo, ni mucho menos:

http://johnny.ihackstuff.com/ghdb.php

Básicamente es saber buscar archivos con información sensible, en distintas bases de datos de la red.

Y en este material que les dejo se pueden: desde buscar archivos de backups, documentos que contengan metadatos, o simplemente archivos de configuración de conexiones a bases de datos o archivos UDL, los cuales especifican los atributos de una aplicación con una base de datos, estos archivos pueden configurarse desde una interfaz o desde el bloc de notas, conteniendo los datos mismos de configuración para la conexion con la DB, solo es guardarlo con extension .udl y ya)

Los archivos UDL al no estar cifrados son especiales para conseguir acceso a las bases de datos:

http://msdn.microsoft.com/es-es/library/89211k9b(VS.80).aspx

Para hacer una busqueda de los mismos usaremos el comando de google filetype:

http://www.google.com/search?hl=es&q=filetype%3Audl&meta=

Tambien podemos atacar los archivos LDIF, los cuales son archivos de texto plano, LDIF es un formato de intercambio de datos para el protocolo LDAP (Lightweigth Directory Access Protocol) o Protocolo Ligero de Acceso a Directorios:

http://dns.bdat.net/documentos/cursos/ar01s88.html

LightweigthDirectoryAccessProtocol o Protocolo Ligero de Acceso a Directorios:

http://es.wikipedia.org/wiki/LDAP

http://dns.bdat.net/documentos/cursos/ar01s89.html

Una búsqueda en google para encontrarlos:

http://www.google.com/search?hl=es&q=filetype%3Aldif&meta=

Y si queremos mas datos solo es filtrar la busqueda

Contraseñas de usuarios:

http://www.google.com/search?hl=es&q=filetype%3Aldif+userPassword&meta=

Un nombre o apellido en especifico:

http://www.google.com/search?hl=es&q=filetype%3Aldif+Alexander&meta=

http://www.google.com/search?hl=es&q=filetype%3Aldif+Gonzales&meta=


Datos por ciudades:

http://www.google.com/search?hl=es&q=filetype%3Aldif+valencia&btnG=Buscar&meta=

http://www.google.com/search?hl=es&q=filetype%3Aldif+Madrid&btnG=Buscar&meta=

Mas:

Http://www.google.es/search?hl=es&q=filetype%3Aldif+inurl%3Adump&meta=

http://www.google.com/search?hl=es&q=filetype%3Aldif+inurl%3Abackup&meta=

Como les comente solo es filtrar los criterios de búsqueda, y encontraremos muchos datos sensibles con esta técnica de GHDB, ademas esto es solo para que investiguen y vean donde se puede llegar con esto de las búsquedas, y los diferentes manejos que se le den. Ademas de que hay mucho de donde cortar de este tema del LDAP y las DBs.
Publicado por Aleks
Etiquetas:
 
Plantilla hecha por Dante Araujo