Seni Internet,
Googling
- Terinspirasi dengan
Seni Internet ‘Hacking’, saya coba membuat tulisan dengan judul yang mirip
(dimiripkan) yang akan membahas tentang penggunaan ‘google - googling’
Tidak tahu apakah
penggunaan google ini sudah bisa disebut seni atau bukan dan mudah mudahan juga
istilah seni internet tidak dipatenkan sehingga saya tidak disebut plagiat dan
harus membayar fee J . Tulisan ini
dibuat untuk berbagi pengalaman mudah-mudahan bermanfaat dan semoga juga tidak
membosankan serta tidak mengesalkan.
Satu keumuman yang
dapat dicermati ketika kita membaca tulisan-tulisan yang ditampilkan di Jasakom
(mungkin juga di situs-situs lain yang berkaitan dengan tema-tema h4x0r) adalah
penulisnya menggunakan google sebagai mesin pencarinya. Banyak ungkapan menarik yang
dituliskan untuk menunjukkan kedekatan para penulis ini dengan
google. Di bawah ini diberikan contoh
beberapa ungkapan tersebut yang diambil dari tulisan di Jasakom.
“ ... Paman Google ( Search Engine Favorit ku ) “
“... apa itu VBS?
baca google yah ...”
“ ... oke langsung
saja buka www.google.com cari aja yang ada hubungannya dengan php nuke ...”
“...mari cari target
buka http://www.google.co.il/ ...”
“ ... Buka browser
anda ke alamat: www.google.com lalu ketikkan keyword ...”
“... banyak banget ya
target yang tampil di jendela si google...”
“...nah seperti
biasa....GOOGLING!!! hehehe ...”
Dari
ungkapan-ungkapan tersebut mungkin akan timbul pertanyaan ... memangnya Ada Apa
dengan Google ? ... Loh kok enggak pake mesin pencari lain yah ?. .. Apa sih
keunggulan yang diberikan oleh google? ..... Untuk menjawab
pertanyaan-pertanyaan tersebut salah satu diantaranya adalah dengan menunjukkan
bagaimana relevansi antara apa yang kita ingin cari dengan apa yang dihasilkan
oleh suatu mesin pencari. Terdapat
beberapa penelitian yang telah dilakukan orang yang mencoba membandingkan hasil
pencarian yang dilakukan google dengan mesin pencari lain. Salah satunya adalah penelitian yang
dilakukan oleh Salokhe et al (2003, FAO-UN, Food and Agriculture Organizaion –
United Nation) yang mencoba membandingkan kinerja google dan metacrawler dalam
melakukan pencarian untuk database AGRIS yang dimiliki FAO. Hasil penelitan tersebut menunjukkan bawah
google memberikan kualitas pencarian yang lebih baik dibanding metacrawler
(he..he.. jadi serius nih).
Selain memang
kualitas hasil pencarian google yang baik, pilihan rekan-rekan untuk
menggunakan google sebagai mesin pencari memang tidah salah. Coba lah pilihan interface h4x0r yang
disediakan google di
http://www.google.com/intl/xx-hacker/ , seolah olah dengan menggunakan
google kita sudah merasa jadi hacker (J, lol, walaupun hanya tulisannya). Dan untuk lebih meyakinkan lagi bahwa
menggunakan google sebagai mesin pencari kita memang pilihan yang tepat coba
juga lihat disalah satu pertanyaan dan jawaban
dalam FAQ yang disediakan google
sendiri seperti tertera di bawah ini:
---------------------------------------------------------------------------------------------------------
“Mengapa Googlebot
mendownload informasi dari web server "rahasia" saya?
Hampir-hampir
mustahil untuk menjaga merahasiakan sebuah web server dengan cara tidak
mempublikasikan link apapun ke halaman itu. Begitu ada orang yang mengikuti
sebuah link dari server "rahasia" Anda ke web server lain, tampaknya
URL "rahasia" Anda ada pada tag referalnya, dan bisa disimpan dan
mungkin diterbitkan oleh web server yang lain dalam log referalnya. Jadi, jika
ada link ke web server atau halaman "rahasia" Anda di manapun di web,
tampaknya Googlebot dan "penjaring web" lain akan menemukannya.
-------------------------------------------------------------------------------------------------------------
Apa yang bisa
dilakukan dengan google ?
Target utama kita
menggunakan mesin pencari adalah mendapatkan informasi tertentu sesuai dengan
tujuan kita. Nah, informasi-informasi
apa saja yang bisa kita dapatkan dengan google adalah bentuk informasi berikut
(selain pencarian informasi umum misalnya tutorial, white paper dll):
§ Menemukan target web yang dapat
dieksploitasi dimana:
§ Target tersebut menjalankan sistem
informasi tertentu
§ Target tersebut menjalankan software
web server tertentu
§ Target tersebut memiliki
kelemahan/hole (vunerabilities) tertentu
§ Target tersebut memiliki data sensitif
di dalam direktori publik
§ Target tersebut memiliki data sensitif
di dalam file publik
§ Selain hal di atas kita juga bisa
memanfaatkan google misalnya sebagai server proxy (bagaimana caranya akan
dibahas di bagian selanjutnya, walaupun tidak sebagai anonymous proxy),
menghasilkan hal-hal yang lucu dari hasil pencariannya, dan banyak lagi hal
lainnya dengan memanfaatkan fitur-fitur yang sediakan oleh google (Cobalah
situs berikut http://douweosinga.com/projects/googlehacks yang memanfaatkan
fitur Web API google untuk membuat kalimat otomatis, membuat kalimat dalam
gambar dan lain sebagainya).
Syntax dan Fitur-fitur
yang disediakan google
Untuk mendapatkan apa
yang bisa dilakukan dengan google ada baiknya kita mengenali syntax yang
disediakan oleh google untuk membantu melakukan pencarian. Secara default google mengunakan operand AND
apabila kita melakukan pencarian dengan lebih dari satu kata. Untuk pencarian dalam bentuk frasa maka kita
harus menggunakan tanda kutip yang melingkupi kata kunci yang kita
masukkan. Sedangkan untuk memaksa google
agar tetap memasukkan kata-kata umum (misal how, of, for, dll) dalam sistem
pencariannya maka kita harus menggunakan tanda plus (+) di depan kata yang umum
tersebut. Syntax-syntax ini digunakan secara langsung dalam kolom pencarian dan
penggunaannya dapat dikombinasikan.
Adapun syntax-syntax lain yang sangat membantu pula dalam pencarian
adalah sebagai berikut:
Field
Tujuan Penggunaan
intitle:
Menemukan halaman-halaman web yang di dalam
title HTML-nya mengandung katakunci (keyword) yang kita masukkan. Contoh intitle:search berarti akan menemukan
halaman yang didalam title HTML-nya mengandung kata ‘search’
inurl:
Menemukan URL (host, nama path, nama file)yang
memiliki kata kunci yang kita masukkan.
filetype:
Menemukan tipe file tertentu
site:
Menemukan halaman pada situs tertentu
link:
menemukan halaman yang memiliki hiperteks link
ke URL tertentu
Dan beberapa syntax
lain bisa lihat di
http://www.googleguide.com/advanced_operators.html
Terdapat banyak fitur
disediakan oleh google untuk lebih membantu kita sebagai pengguna dalam
mendapatkan informasi yang diinginkan.
Dari halaman depan google, kita bisa melakukan pencarian gambar melalui
pilihan ‘images’, melakukan pencarian
arsip dikusi di USENET melalui pilihan ‘groups’, ataupun melakukan pencarian
berdasar topik tertentu melalui pilihan ‘directory’. Fitur lainnya akan tampak apabila kita klik
menu ‘more’ dalam tampilan awal google.
Fitur-fitur tersebut diantaranya fitur translate tool, fitur Web API dan
lain sebagainya.
Dimana letak seninya
googling ?
Seni dari googling
terletak pada kreativitas kita dalam mengolah/memanfaatkan kata kunci dan fitur
yang disediakan google sehingga dapat menghasilkan hal/informasi yang umum
ataupun tidak umum. Agar lebih jelas
bagaimana kita melakukannya, bagian selanjutnya dari tulisan ini akan
memberikan contoh dari penggunaan fitur dan kata kunci tersebut.
Google sebagai
proxy. Kita dapat menjadikan google
sebagai proxy server dengan memanfaatkan fasilitas translate. Walaupun google proxy ini tidak bersifat
anonymous, tetapi siapa tahu dengan menggunakan proxy google akses menjadi agak
lebih cepat terhadap suatu site (karena sifat connectionless oriented dari
protocol IP) atau cukup bisa mengelabui admin yang kurang teliti. Untuk melakukan hal di atas kita bisa memilih
menu more dalam google atau menggunakan url berikut
http://www.google.com/language_tools?hl=en .
Untuk situs yang berbahasa indonesia, tinggal kita masukkan saja url-nya
pada bagian translate web atau masukkan dalam url berikut
http://translate.google.com/translate?u=http://www.situstarget.com&langpair=id|id
. Untuk situs-situs yang berbahasa
inggris, tinggal ganti id|id menjadi en|en (sebenarnya untuk situs yang
berbahasa Indonesia bagian ujung dari url bebas tidak harus id|id). Sebagai contoh situs target, biasanya saya
senang menggunakan jasakom karena menyediakan script untuk menampilkan proxy
kita.
Tanpa Google
Dengan Google
http://translate.google.com/translate?u=http://www.situstarget.com&langpair=id|id
Mecari target untuk
suatu eksploit yang ditemukan.
Contoh-contoh untuk kemampuan google yang satu ini sudah banyak
diketengahkan di situs jasakom. Biasanya
syntax yang dipakai adalah “inurl:” plus yang lainnya . Misal kita menemukan bahwa VP-ASP (Virtual
Programming - ASP) sebagai salah satu shooping cart yang dikenal di Eropa dan
US untuk membuat toko online memiliki kelemahan pada script halaman
adminnya. Kelemahan tersebut adalah
script adminstrasinya bisa di XSS dan di Injeksi SQL (http://securitytracker.com/alerts/2002/May/1004384.html). Dengan melakukan XSS atau SQL injection
terhadap script ini dapat memperlihatkan detail data credit card dari
pelanggan. Adapun script administrasinya ada di file shopadmin.asp. Lalu, bagaimana mencari target yang memiliki
kelemahan ini, caranya adalah dengan menggunakan keyword berikut pada
google -- inurl:shopadmin.asp “shop
adminstrators only” ---
http://www.google.com/search?hl=en&lr=&ie=UTF-8&&q=inurl%3A%22shopadmin.asp%22+%22Shop+Administrators+only%22
.
Menemukan
password. Sesuatu yang harusnya tidak
untuk diketahui untuk umum, semacam password dan lainnya, karena adanya sedikit kesalahan dalam setting
atau lainnya, atau juga karena adanya keinginan orang untuk berbagi, memberikan
kesempatan pada google untuk menemukan hal seperti ini. Contoh untuk pencarian password dengan google
misalnya dengan mencari file password yang memiliki nama password juga dengan
tipe file mungkin txt juga mungkin dat.
Kita ambil contoh keyword --- filetype:dat “password.dat” --
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=filetype%3Adat+%22password.dat%22
. (jika ditemukan password yang
dienkripsi, silahkan deskripsi dengan JTR atau program yang lainnya. Lebih mudah untuk melihat hasil pencarian
dengan mengikut link “cached” dari google).
Keyword lain yang dapat digunakan -- filetype:bak
inurl:"htaccess|passwd|shadow|htusers" -- , --- "#
-FrontPage-" inurl:service.pwd --
Bagaimana mencari
password yang dishare orang lain (pihak ketiga) terutama untuk situs yang ehmm
ehmm ;). Situs-situs tersebut biasanya
di authenticasi dengan cara standar yang memungkinkan kita melakukan akses dengan
mengetikan pada address bar menggunakan pola
‘http://xxxxx:xxxxxx@www.hehehe.com/members’.
Untuk itu, bisa kita coba dengan mengetikkan keyword frasa berikut pada
google -- “http://*:*@www”—untuk tambahan query bisa kita tambahkan setelah
frasa dengan nama situsnya misal ..... (silahkan tebak sendiri he...he..)
Melihat direktori
tertentu dari suatu site. Suatu site
yang tidak terkonfigurasi dengan baik akan memungkinkan google dapat
menampilkan struktur file yang mungkin cukup sensitif. Keyword untuk tujuan ini biasanya menggunakan
frasa “index of”. Contoh keywordnya
adalah -- intitle:"index.of.secure" --
intitle:"index.of.secure" – intitle:’index of cgi-bin” --- .
Mencari kelemahan
suatu server dari hasil kerja orang lain.
Untuk menemukan informasi kondisi suatu server, kadang-kadang kita tidak
perlu melakukan sendiri scanning terhadap server tersebut. Kita bisa mecari bagaimana profil suatu
server menggunakan google berdasarkan laporan dari pihak lain yant telah
melakukan assesment untuk suatu serve.
Bisa dicoba sontohnya dengan
keyword berikut -- filetype:pdf "Assessment Report" nessus –
Penutup
Apa yang
diketengahkan di atas hanya sebagian kecil dari kreativitas mengolah keyword
untuk google. Masih banyak lagi yang
belum dinyatakan dalam tulisan ini yang mungkin rekan-rekan telah ketahui
sebelumnya atau mungkin rekan-rekan sendiri yang punya ide baru dalam mengolah
keyword untuk google. Dan yang pasti,
koleksi terbanyak ada di net sana (coba – filetype:txt inurl:googletut1 -- )
0 komentar:
Posting Komentar