Bienvenido a cursohacker.es. Puedes acceder a todo el contenido líbremente pero si deseas poder crear tus propios temas en el foro y que tus respuestas y comentarios se publiquen de forma automática regístrate como alumno aquí

Tus claves accesibles desde un post-it 2.0

Bienvenido a mi a mi casa, hágase usted mismo una copia de mis llaves y entre cuando quiera. ¿Chocante verdad? Pues podría ser que sin darte cuenta lo estés haciendo en tu página web, solo que en vez de llaves estarás dando tus claves de acceso. Un descuido puedo dejar tu sistema completamente al descubierto.

En este artículo veremos una aplicación muy particular y muy práctica del post de ayer sobre cómo hacer busquedas avanzadas en google. La clave radica en que google es capaz de rastrear nuestra web hasta el último rincón y si por un descuido hemos dejado visible parte de código sensible se lo estaremos dando a todo aquel que así lo requiera. 

Ejemplo práctico de hacking con google - Hacking en menos de 1 minuto

Como algunos de vosotros sabréis cuando instalamos una aplicación web, ya sea un wordpress, un drupal,un joomla o cualquier sitio que requiera conexión a una base de datos, tarde o temprano tenemos que definir un archivo de configuración en el que almacenamos en texto plano las claves para que a aplicación pueda conectar a la base de datos y trabajar con ella. Normalmente estos archivos quedan en directorios protegidos, pero hay casos, sobre todo en aplicaciones webs creadas desde 0 en las que por un descuido esto no es así y quedan accesibles públicamente con el riesgo que esto conlleva. Evidentente lo habitual es que esto no pase, pero siempre podemos probar este truco ya que es realmente fácil de aplicar y nos puedo dejar ver cosas interesantes.

Buscaremos para este ejemplo la función mysql_connect, es una función que sirve para conectar con la base de datos, esta función requiere que le pasemos tanto el usuario como la contraseña y estará en tipos de archivos "inc". Por tanto, indicaremos a google que queremos los tipos de archivos inc que contengan la función mysql_connect, así armamos la siguiente consulta:
filetype:inc intext:mysql_connect

Busqueda función mysql_connect en archivos de configuración

Nos centramos en el primer resultado para el ejemplo que nos trae entre manos, sirva de ejemplo, (desde aquí avisamos que nos vamos a poner en contacto con los administradores de este sitio para advertirles del problema).
Función mysql_connect en archivo de configuracion

Y si miramos con atención veremos 3 campos. El primero Localhost hace referencia al servidor, debemos buscar cómo conectar desde localhost, no vale lanzar las conexión desde nuestro pc (al menos en principio, porque también podría ser que su servidor mysql aceptara conexiones desde fuera. El segundo campo es el usuario,para este caso es inmobiliaria, es el nombre de usuario para conectar con la base de datos, y el tercer campo es la contraseña, que en este caso es durpango.

Vale, ya hemos visto que tenemos los 3 campos, pero la cuestión ahora es.

¿Cómo usamos el usuario y contraseña para conectarnos a su base de datos?

Encontraremos respuestas a esta pregunta conforme avancemos en el curso, para hoy daremos la mas fácil. Normalmente para administrar las bases de datos se utiliza phpMyadmin. Así que el paso ahora es ver si realmente lo tiene instalado y probar a abrirlo accediendo a la url mas obvia que se nos viene a la cabeza: /phpmyadmin
Formulario de acceso a phpMyadmin

Y bingo,lo tiene instalado, ahora introducimos la pareja Usuario/contraseña que hemos conseguido de la función anterior y....
Interfaz de gestión de base de datos phpmyadmin
Tenemos acceso total a la gestión de su base de datos. Mas adelante veremos cómo funciona phpMyadmin, si lo sabes no es necesario que te comente que ya tenemos control total de la página.

Como véis exprimir google nos puede servir para hacernos con el control de un sitio web en menos de 1 minuto. Y tú, ¿Tienes tus contraseñas expuestas en un post-it 2.0?
 

Comentarios

Gracias por el post, acabo de entrar ahora mismo a mi web y comprobar que por suerte está bien protegida. Te acabas de ganar un seguidor más.

De esto mismo trata este curso online, De poder aplicar los conocimientos de manera práctica, nos alegramos de que en tu caso solo haya servidor para corroborar que no teníais este agujero de seguridad abierto.

Imagen de JoséAntoniopardo

Hola soy nuevo el curso este es solo basico? No hay internedio o mas avanzado

Acabamos de solucionar este problema en la plataforma de contenidos de mi empresa. Seguiré chequeando las demás webs que tenemos.

Es un aporte fantástico, gracias.

No perdáis de vista los logs de los sitios webs que han estado desprotegidos, mas adelante los podréis utilizar para investigar si alguien se ha aprovechado de este agujero de seguridad para hacer algo mas que fisgonear.

Muy interesante el artículo. Pero sería posible restringir la búsqueda para enfocarla a unas webs específicas? De esa forma podríamos averiguar si alguna de nuestras webs tiene ese problema, sin que aparezcan todas las demás...

Claro que si, con el comando de google "site" haz la búsqueda que desees añadiento al principio "site:tuweb.com" y así indicas a google que solo te interesa que busque contenido en la web que indicas.

Si quieres saber más sobre cómo hacer búsquedas avanzadas en google puedes leer nuestra anterior publicación. Comandos de busqueda avanzada en google

Amigos hice la busqueda.. pero no sale obsolutmante nada..la estoy haciendo asi...
me corriges si esta mal ..

site:paginaweb.com filetype:inc intext:mysql_connect

Hola Jhon, estás haciendo la búsqueda correecta, solo que esta intentando buscar la orden mysql_connect dentro de la web "paginaweb.com". Tienes que sustituri "paginaweb.com" por la página web que deseas auditar. Así ves si la página a la que le estás haciendo el test de intrusión tiene tiene ese código visible en google. Si no especificas ninguna web verás todas las páginas que son vulnerables a este ataque.

Saludos.

Pero como pueden llegar a saber que administrador de bases de datos uso?, y hay alguna manera de poder ocultarlo?.

PhpMyAdmin es el administrador de bases de datos mas usado en entornos web, por ello a la hora de probar esta técnica se busca phpMyAdmin y no otro administrador. Una de las formas de ocultarlo a ojos de terceros es proteger el acceso a la carpeta donde tienes PhpMyAdmin con un archivo .htaccess. 

Hola! mil gracias por compartir este material, me ha sido de mucha utilidad. Sin embargo, he realizado la búsqueda con varios websites y ninguno me da resultado. Esto es lo que aparece: Your search - site:www.xxxx.com filetype:inc intext:mysql_connect - did not match any documents. Sería genial saber que pasa. Gracias de nuevo.

Hola Lucas.

No te aparece ningún resultado al hacer esa búsqueda porque has de sustituir el lugar "www.xxxx.com" por la página web que deseas analizar.

Saludos.

me ocurre lo mismo que a Lucas obvamente que www.xxxx.com era un ejemplo yo sustituyo eso con una pagina existente y me da el mismo resultado, ¿podrías dar un ejemplo con una pagina incluida? desde ya muchas gracias.

Hola Matías.

Vamos a suponer que queremos ver si la página wrccradio.com es vulnerable a este fallo de seguridad. Para ello lo único que debemos de hacer es realizar la siguiente consulta en google:

filetype:inc intext:mysql_connect site:www.wrbcradio.com

Con el parámetro SITE estamos indicando que solo queremos buscar dentro de la web wrbcradio.com

Las páginas que quiero especificar sólo pueden ser .com o pueden ser .es .org...?

Muchas gracias.

Puede ser cualquier página, no hay restricción alguna ni por dominio, ni por temática ni por pais: .com .es .org. net. mx .gov .edu....

Saludos

Admin gracias por compartir este tipo de informacion para nosotros, sin embargo tengo una duda, es recomendable que utilizemos la opcion de "Ocultar identidad" que se encuentra en el tema anterior para hacer este tipo de consultas?

Hola Master.

Realmente no importa mucho hacer este tipo de consultas con el modo de incógnito activado o desactivado, ya que lo único que estás haciendo es acceder a información pública del sitio web. Pero si lo haces con el modo oculto activado no harás uso de las cookies y podrás proteger un poco más tu identidad frente a rastreos de los administradores, si a esto añades el uso de proxys para ocultar tu IP complicarás de manera muy notoria el rastreo por parte de los administradores.

Acabo de ver mi web y esta bien protegida, no sabia que se podian hacer tantas cosas con el buscador google y sin utilizar ningun programa para hacerlo. Creo que me va a gustar este cursillo gracias por toda la informacion que teneis expuesta aqui.

hola, no me sale, pongo el enlace en google y me aparecen muchas cosas pero no puedo hacerlo con mi nombre, me podrian ayudar quizás necesito un paso previo o google cambió como se presenta ese enlace

gracias

Fantático material!!!!.

Me gustaria saber como comprobar la seguridad de mi web en concreto, es decir, como se puede aplicar esta funcion a una web en particular. 

 

Gracias.

Hola, he buscado en Google tal y como dices, pero no me aparece ninguna web. También me gustaía informarme si esto es "ilegal". Gracias

supongo que si en la barra de busquedas una vez metido el comando me aparece esto La búsqueda de filetype:inc intext:mysql_connect site:tiamaria.es (es un ejemplo) no obtuvo ningún resultado. supongo que es por que esta bien protejida dicha pagina, o es que estoy haciendo algo mal?

Efectivamente Luis. Si no aparece dicha web es que no tiene acceso público a los ficheros de configuración y está protegida contra este tipo de ataques. Saludos.

como me conecto en localhost desde mi pc a esa pagina que quiero meterme? un saludo

despues de ver usuario y contraseña de varias paginas... intento acceder a la ruta con phpmyadmin despues de la url de la pagina pero me dice que no existe o me sale la pagina de ono de mi router, puede ser que me este cortando el acceso el dns de ono?

un saludo

Excelente aporte... me gustaria, ya que es hacking etico, saber como poder darle solución a este problema. Encontre una pagina con esta vulnerabilidad y mi intención sería informar dicha vulnerabilidad y poder aportar una solución al respecto. Saludos

cada artivculo que voy leyendo es muy interesante, aun estoy en la universidad y al parecer toda esta informacion me será de mucha ayuda, me gustaria ponerme en contacto con algunos de los colaboradores de esta gran pagina, saludos a todos y animo.

Hola, me gustaría saber si meterse en una base de datos mediante este método va en contra de la ley.Muy buen curso

Buenas, me gustaría saber si es "legal" esto de meterse en la base de datos de una página web. Buen curso.

Hola ¿Todo bien? Che mira no se que tiene probe con 3 paginas distintas y no pude una ayudita plisss!

Probe con mas de 10 pags y ninguna me dio el mismo resultado que a vos!

hola hay otro progama que se use para la administracion de datos , porque quiero buscar eso pero ami me dice que no se encuentra en mi servidor, estoy travado, envdd no entendi muy bien , y con contraseña y control de su pagina en que me beneficia?

El curso me ha resultado muy interesante, solo tengo una duda hasta ahora, qué se debería hacer para que las claves no estén visibles para terceros?

Lo estuve probando a ver como funcionaba, pero parecee que si lo haces unas cuantas veces google te detecta como tráfico inusual desde tu red de ordenadores. A que se puede deber esto?

A la hora de poner el "filetype:inc intext:mysql_connect site:bitel.com.pe" se pone antes con el www o sin el www? por ejemplo *.... site:www.bitel.com.pe" seria asi? o seria sin el www ayuda

Hola alguien me puede explicar como podría piratear el juego de mobile strike? me han dicho que se tarda 2 horas en hackear lo

Amigo lo felicito por esta información que nos está brindando ya que me ha tenido muy entretenido pero mira que en este paso no me ha salido seguro por qué an modificado las páginas seguiré mas adelante para ver que pasa

Muy buena la página. Tengo una duda, he encontrado el user y el password de la base de datos de la página X, sin embargo, al escribir www.X.com/phpmyadmin me aparece el tipico error 404 y el mensaje "The requested URL /phpmyadmin was not found on this server." Esto quiere decir que no utilizan phpMyAdmin? Con que otra base de datos podria probar para luego avisar de la vulnerabilidad? Gracias.

Si te ha sido de utilidad Compárteme