Buenas a todos, en el post de hoy os queríamos enseñar algunas búsquedas bastante curiosas que podremos realizar de forma sencilla con Google Hacking para localizar en Internet historiales de bash que han quedado expuestos en Internet, y que normalmente se producen a la hora de subir aplicaciones a sitios como Github, compartir códigos en foros de consulta o similares. Son muy interesantes porque en ellos se pueden encontrar verdaderas joyas para acelerar un proceso de intrusión en un pentest.
Para ilustrarlo utilizaremos un ejemplo de búsqueda para localizar credenciales de conexión a bases de datos MySQL expuestas en los bash_history:
- inurl:bash_history mysql "-u":
Interesante... ¿verdad?:
Además de contraseñas de acceso a BBDD, también podremos encontrarnos rutas locales, credenciales de otros servicios y aplicativos, nombres de usuarios, archivos, backups, logs, y un largo etc. Cómo le gusta decir a Pablo, el límite de estas búsquedas se encuentra en nuestra imaginación...
Saludos!
No hay comentarios:
Publicar un comentario