قسمت اول از جمع آوری اطلاعات محرمانه از طریق Google Dork's
خواندن
اگر استقبال بشه قسمت دوم رو هم میزارم
#Google_Dork
@TryHackBox
خواندن
اگر استقبال بشه قسمت دوم رو هم میزارم
#Google_Dork
@TryHackBox
👍16
یافتن آسیب پذیری های وب سایت با Google Dorks
امروز، بر اساس تقاضای عمومی، نگاهی دقیق تر به استفاده از Google Dorks به عنوان ابزاری برای یافتن آسیب پذیری ها در وب سایت ها خواهیم داشت.
امروز نگاهی دقیق تر به استفاده از Google Dorks به عنوان ابزاری برای یافتن آسیب پذیری ها در وب سایت ها خواهیم داشت.
اپراتورهای محبوب جستجوی گوگل
⚠ استفاده از عملگرهای زیر به شما امکان می دهد تا فرآیند یافتن اطلاعات لازم را دقیق تر کنید:
جستجو را به یک منبع خاص محدود کنید
به شما امکان می دهد اطلاعات را در یک نوع فایل خاص جستجو کنید
- در URL منبع جستجو کنید
- در عنوان صفحه جستجو کنید
- جستجوی کش گوگل
متاسفانه ربات های جستجوگر قادر به تعیین نوع و میزان محرمانه بودن اطلاعات نیستند. بنابراین، آنها یک مقاله از یک وبلاگ را که برای طیف وسیعی از خوانندگان در نظر گرفته شده است، و یک نسخه پشتیبان از پایگاه داده را که در دایرکتوری ریشه وب سرور ذخیره می شود و برای استفاده توسط افراد غیرمجاز ذخیره می شود، در همون روش.
به لطف این ویژگی و همچنین استفاده از اپراتورهای جستجو، هکرها موفق به شناسایی آسیبپذیریهای منابع وب، نشت اطلاعات مختلف (کپیهای پشتیبان و متن خطاهای برنامه وب)، منابع پنهان مانند پنلهای مدیریت باز، بدون مکانیسمهای احراز هویت و مجوز میشوند.
- بخش اول
🔥 ما را به دوستانتان معرفی کنید 🔥
#Google_Dork #dork
@TryHackBox
امروز، بر اساس تقاضای عمومی، نگاهی دقیق تر به استفاده از Google Dorks به عنوان ابزاری برای یافتن آسیب پذیری ها در وب سایت ها خواهیم داشت.
امروز نگاهی دقیق تر به استفاده از Google Dorks به عنوان ابزاری برای یافتن آسیب پذیری ها در وب سایت ها خواهیم داشت.
اپراتورهای محبوب جستجوی گوگل
⚠ استفاده از عملگرهای زیر به شما امکان می دهد تا فرآیند یافتن اطلاعات لازم را دقیق تر کنید:
site: جستجو را به یک منبع خاص محدود کنید
مثال: query site:example.com تمام اطلاعاتی را که Google برای سایت example.com در بر دارد پیدا می کند.filetype:به شما امکان می دهد اطلاعات را در یک نوع فایل خاص جستجو کنید
مثال: درخواست filetype:php site:example.com کل لیست فایلهای موجود در سایت را که در موتور جستجوی گوگل وجود دارد، برمیگرداند.inurl: - در URL منبع جستجو کنید
مثال: درخواست site:example.com inurl:admin - پنل مدیریت را در سایت جستجو می کند.intitle: - در عنوان صفحه جستجو کنید
مثال: درخواست سایت: example.com intitle:"Index of" - صفحاتی را در سایت example.com با لیستی از فایل های داخل جستجو می کندcache: - جستجوی کش گوگل
مثال: درخواست cache:example.com تمام صفحات منبع example.com ذخیره شده در سیستم را برمی گرداند.متاسفانه ربات های جستجوگر قادر به تعیین نوع و میزان محرمانه بودن اطلاعات نیستند. بنابراین، آنها یک مقاله از یک وبلاگ را که برای طیف وسیعی از خوانندگان در نظر گرفته شده است، و یک نسخه پشتیبان از پایگاه داده را که در دایرکتوری ریشه وب سرور ذخیره می شود و برای استفاده توسط افراد غیرمجاز ذخیره می شود، در همون روش.
به لطف این ویژگی و همچنین استفاده از اپراتورهای جستجو، هکرها موفق به شناسایی آسیبپذیریهای منابع وب، نشت اطلاعات مختلف (کپیهای پشتیبان و متن خطاهای برنامه وب)، منابع پنهان مانند پنلهای مدیریت باز، بدون مکانیسمهای احراز هویت و مجوز میشوند.
- بخش اول
🔥 ما را به دوستانتان معرفی کنید 🔥
#Google_Dork #dork
@TryHackBox
👍6👎1
چه داده های حساسی را می توان آنلاین یافت؟
به خاطر داشته باشید که اطلاعاتی که ممکن است توسط موتورهای جستجو پیدا شود و به طور بالقوه مورد علاقه هکرها باشد عبارتند از:
- دامنه های سطح سوم منبع مورد تحقیق:
دامنه های سطح سوم را می توان با استفاده از کلمه "site:" پیدا کرد. به عنوان مثال، یک پرس و جو مانند site:*.example.com همه دامنه های سطح 3 برای example.com را برمی گرداند. چنین پرسوجوهایی به شما امکان میدهند منابع اداری پنهان، سیستمهای کنترل نسخه و مونتاژ و همچنین سایر برنامههایی را که دارای رابط وب هستند، کشف کنید.
- فایل های مخفی در سرور
بخش های مختلف یک برنامه وب را می توان در نتایج جستجو گنجاند. برای پیدا کردن آنها می توانید از filetype:php site:example.com استفاده کنید. این به شما امکان می دهد تا عملکردهایی را که قبلاً در دسترس نبوده و همچنین اطلاعات مختلفی در مورد عملکرد برنامه کشف کنید.
- پشتیبان گیری
از کلمه کلیدی filetype : برای جستجوی نسخه های پشتیبان استفاده می شود. پسوند فایل های مختلفی برای ذخیره پشتیبان استفاده می شود، اما متداول ترین پسوندهای مورد استفاده bak، tar.gz، sql هستند.
نمونه درخواست: site:*.example.com filetype:sql. پشتیبانگیریها اغلب حاوی لاگینها و رمزهای عبور از رابطهای مدیریتی، و همچنین دادههای کاربر و کد منبع وبسایت هستند.
- خطاهای برنامه وب
متن خطا می تواند شامل داده های مختلفی در مورد اجزای سیستم برنامه (وب سرور، پایگاه داده، پلت فرم برنامه وب) باشد. چنین اطلاعاتی همیشه مورد توجه هکرها است، زیرا به آنها اجازه می دهد اطلاعات بیشتری در مورد سیستم مورد حمله به دست آورند و حمله خود را به منبع بهبود بخشند.
درخواست مثال: site:example.com "warning" "error".
- ورود و رمز عبور ⚠️
در نتیجه هک یک برنامه وب در اینترنت، ممکن است داده های کاربران این سرویس ظاهر شود. درخواست filetype:txt "login" "password" به شما امکان می دهد فایل های دارای لاگین و رمز عبور را پیدا کنید. به همین ترتیب، می توانید بررسی کنید که آیا ایمیل شما یا هر حساب دیگری هک شده است. فقط نوع فایل را درخواست کنید: txt user_name_or_email.
ترکیبی از کلمات کلیدی و رشته های جستجو که برای کشف اطلاعات حساس استفاده می شود Google Dorks نامیده می شود.
نمونه هایی از استفاده
در نهایت، چند نمونه واقعی از نحوه کمک Google Dorks به هکرها برای دریافت اطلاعات مهم اما ناامن:
مثال شماره 1. نشت اسناد محرمانه در سایت بانک
به عنوان بخشی از تجزیه و تحلیل امنیت وب سایت رسمی یکی از بانک ها، تعداد زیادی اسناد pdf پیدا شد. تمام اسناد با استفاده از پرس و جو "site:bank-site filetype:pdf" یافت شد. محتویات اسناد نیز جالب بود، زیرا طرح هایی برای محل هایی که شعب بانک در سراسر کشور در آن مستقر بودند، وجود داشت. این اطلاعات برای سارقان بانک بسیار جالب خواهد بود.
مثال شماره 2. جستجوی داده های کارت پرداخت
اغلب اوقات، هنگام هک کردن فروشگاه های آنلاین، هکرها به داده های کارت پرداخت کاربر دسترسی پیدا می کنند. برای به اشتراک گذاشتن این داده ها، مهاجمان از خدمات عمومی که توسط گوگل ایندکس شده اند استفاده می کنند. مثال درخواست: "شماره کارت" "تاریخ انقضا" "نوع کارت" filetype:txt .
بخش پایانی .
#Google_Dork #Dork
@TryHackBox
به خاطر داشته باشید که اطلاعاتی که ممکن است توسط موتورهای جستجو پیدا شود و به طور بالقوه مورد علاقه هکرها باشد عبارتند از:
- دامنه های سطح سوم منبع مورد تحقیق:
دامنه های سطح سوم را می توان با استفاده از کلمه "site:" پیدا کرد. به عنوان مثال، یک پرس و جو مانند site:*.example.com همه دامنه های سطح 3 برای example.com را برمی گرداند. چنین پرسوجوهایی به شما امکان میدهند منابع اداری پنهان، سیستمهای کنترل نسخه و مونتاژ و همچنین سایر برنامههایی را که دارای رابط وب هستند، کشف کنید.
- فایل های مخفی در سرور
بخش های مختلف یک برنامه وب را می توان در نتایج جستجو گنجاند. برای پیدا کردن آنها می توانید از filetype:php site:example.com استفاده کنید. این به شما امکان می دهد تا عملکردهایی را که قبلاً در دسترس نبوده و همچنین اطلاعات مختلفی در مورد عملکرد برنامه کشف کنید.
- پشتیبان گیری
از کلمه کلیدی filetype : برای جستجوی نسخه های پشتیبان استفاده می شود. پسوند فایل های مختلفی برای ذخیره پشتیبان استفاده می شود، اما متداول ترین پسوندهای مورد استفاده bak، tar.gz، sql هستند.
نمونه درخواست: site:*.example.com filetype:sql. پشتیبانگیریها اغلب حاوی لاگینها و رمزهای عبور از رابطهای مدیریتی، و همچنین دادههای کاربر و کد منبع وبسایت هستند.
- خطاهای برنامه وب
متن خطا می تواند شامل داده های مختلفی در مورد اجزای سیستم برنامه (وب سرور، پایگاه داده، پلت فرم برنامه وب) باشد. چنین اطلاعاتی همیشه مورد توجه هکرها است، زیرا به آنها اجازه می دهد اطلاعات بیشتری در مورد سیستم مورد حمله به دست آورند و حمله خود را به منبع بهبود بخشند.
درخواست مثال: site:example.com "warning" "error".
- ورود و رمز عبور ⚠️
در نتیجه هک یک برنامه وب در اینترنت، ممکن است داده های کاربران این سرویس ظاهر شود. درخواست filetype:txt "login" "password" به شما امکان می دهد فایل های دارای لاگین و رمز عبور را پیدا کنید. به همین ترتیب، می توانید بررسی کنید که آیا ایمیل شما یا هر حساب دیگری هک شده است. فقط نوع فایل را درخواست کنید: txt user_name_or_email.
ترکیبی از کلمات کلیدی و رشته های جستجو که برای کشف اطلاعات حساس استفاده می شود Google Dorks نامیده می شود.
نمونه هایی از استفاده
در نهایت، چند نمونه واقعی از نحوه کمک Google Dorks به هکرها برای دریافت اطلاعات مهم اما ناامن:
مثال شماره 1. نشت اسناد محرمانه در سایت بانک
به عنوان بخشی از تجزیه و تحلیل امنیت وب سایت رسمی یکی از بانک ها، تعداد زیادی اسناد pdf پیدا شد. تمام اسناد با استفاده از پرس و جو "site:bank-site filetype:pdf" یافت شد. محتویات اسناد نیز جالب بود، زیرا طرح هایی برای محل هایی که شعب بانک در سراسر کشور در آن مستقر بودند، وجود داشت. این اطلاعات برای سارقان بانک بسیار جالب خواهد بود.
مثال شماره 2. جستجوی داده های کارت پرداخت
اغلب اوقات، هنگام هک کردن فروشگاه های آنلاین، هکرها به داده های کارت پرداخت کاربر دسترسی پیدا می کنند. برای به اشتراک گذاشتن این داده ها، مهاجمان از خدمات عمومی که توسط گوگل ایندکس شده اند استفاده می کنند. مثال درخواست: "شماره کارت" "تاریخ انقضا" "نوع کارت" filetype:txt .
بخش پایانی .
#Google_Dork #Dork
@TryHackBox
👍2
🖇 هنگام کار بر روی وردپرس از چه چیزهایی باید اجتناب کرد
1.- تنظیمات را به عنوان پیش فرض بگذارید.
2. اجازه عدم کنترل بر محتوا و پالیسی های عمومی را بدهید.
صفحه زیر این موضوع را تایید می کند. با استفاده از Google Dork میتوانید میزبانهای مشابهی پیدا کنید:
@TryHackBox
@TryHackBoxOfficial
1.- تنظیمات را به عنوان پیش فرض بگذارید.
2. اجازه عدم کنترل بر محتوا و پالیسی های عمومی را بدهید.
صفحه زیر این موضوع را تایید می کند. با استفاده از Google Dork میتوانید میزبانهای مشابهی پیدا کنید:
"define('DB_USER'," "define('DB_PASSWORD'," ext:txt
#Google #WordPress@TryHackBox
@TryHackBoxOfficial
This media is not supported in your browser
VIEW IN TELEGRAM
Google Captcha Bypass
ما ربات ها را دوست داریم، اما گوگل این کار را نمی کند. بنابراین، در اینجا راه حلی برای دور زدن Google reCAPTCHA وجود دارد.
Google reCAPTCHA را کمتر از 5 ثانیه حل کنید!
این یک اسکریپت پایتون برای حل Google reCAPTCHA با استفاده از کتابخانه DrissionPage است.
https://github.com/sarperavci/GoogleRecaptchaBypass
#google #captcha
@TryHackBox
ما ربات ها را دوست داریم، اما گوگل این کار را نمی کند. بنابراین، در اینجا راه حلی برای دور زدن Google reCAPTCHA وجود دارد.
Google reCAPTCHA را کمتر از 5 ثانیه حل کنید!
این یک اسکریپت پایتون برای حل Google reCAPTCHA با استفاده از کتابخانه DrissionPage است.
https://github.com/sarperavci/GoogleRecaptchaBypass
#google #captcha
@TryHackBox
🔥1