Tidak tahu apakah penggunaan google ini sudah bisa disebut seni atau bukan dan mudah mudahan juga istilah seni internet tidak dipatenkan sehingga saya tidak disebut plagiat dan harus membayar fee J . Tulisan ini dibuat untuk berbagi pengalaman mudah-mudahan bermanfaat dan semoga juga tidak membosankan serta tidak mengesalkan.
Satu keumuman yang dapat dicermati ketika kita membaca tulisan-tulisan yang ditampilkan di Jasakom (mungkin juga di situs-situs lain yang berkaitan dengan tema-tema h4x0r) adalah penulisnya menggunakan google sebagai mesin pencarinya. Banyak ungkapan menarik yang dituliskan untuk menunjukkan kedekatan para penulis ini dengan google. Di bawah ini diberikan contoh beberapa ungkapan tersebut yang diambil dari
tulisan di Jasakom.
“ ... Paman Google ( Search Engine Favorit ku ) “
“... apa itu VBS? baca google yah ...”
“ ... oke langsung saja buka www.google.com cari aja yang ada hubungannya dengan php nuke ...”
“...mari cari target buka http://www.google.co.il/ ...”
“ ... Buka browser anda ke alamat: www.google.com lalu ketikkan keyword ...”
“... banyak banget ya target yang tampil di jendela si google...”
“...nah seperti biasa....GOOGLING!!! hehehe ...”
Dari ungkapan-ungkapan tersebut mungkin akan timbul pertanyaan ... memangnya Ada Apa dengan Google ? ... Loh kok enggak pake mesin pencari lain yah ?. .. Apa sih keunggulan yang diberikan oleh google? ..... Untuk menjawab pertanyaan-pertanyaan tersebut salah satu diantaranya adalah dengan menunjukkan bagaimana relevansi antara apa yang kita ingin cari dengan apa yang dihasilkan oleh suatu mesin pencari. Terdapat beberapa penelitian yang telah dilakukan orang yang mencoba membandingkan hasil pencarian yang dilakukan google dengan mesin pencari lain. Salah satunya adalah penelitian yang dilakukan oleh Salokhe et al (2003, FAO-UN, Food and Agriculture Organizaion – United Nation) yang mencoba membandingkan kinerja google dan metacrawler dalam melakukan pencarian untuk database AGRIS yang dimiliki FAO. Hasil penelitan tersebut menunjukkan bawah google memberikan kualitas pencarian yang lebih baik dibanding metacrawler (he..he.. jadi serius nih).
Selain memang kualitas hasil pencarian google yang baik, pilihan rekan-rekan untuk menggunakan google sebagai mesin pencari memang tidah salah. Coba lah pilihan interface h4x0r yang disediakan google di
http://www.google.com/intl/xx-hacker/, seolah olah dengan menggunakan google kita sudah merasa jadi hacker (J, lol, walaupun hanya tulisannya). Dan untuk lebih meyakinkan lagi bahwa menggunakan google sebagai mesin pencari kita memang pilihan yang tepat coba juga lihat disalah satu pertanyaan dan jawaban dalam FAQ yang disediakan google sendiri seperti tertera di bawah ini:
---------------------------------------------------------------------------------------------------------
“Mengapa Googlebot mendownload informasi dari web server "rahasia" saya? Hampir-hampir mustahil untuk menjaga merahasiakan sebuah web server dengan cara tidak mempublikasikan link apapun ke halaman itu. Begitu ada orang yang mengikuti sebuah link dari server "rahasia" Anda ke web server lain, tampaknya URL
"rahasia" Anda ada pada tag referalnya, dan bisa disimpan dan mungkin diterbitkan oleh web server yang lain dalam log referalnya. Jadi, jika ada link ke web server atau halaman "rahasia" Anda di manapun di web, tampaknya Googlebot dan "penjaring web" lain akan menemukannya.
-------------------------------------------------------------------------------------------------------------
Apa yang bisa dilakukan dengan google ?
Target utama kita menggunakan mesin pencari adalah mendapatkan
informasi tertentu sesuai dengan tujuan kita. Nah,
informasi-informasi apa saja yang bisa kita dapatkan dengan
google adalah bentuk informasi berikut (selain pencarian
informasi umum misalnya tutorial, white paper dll):
§ Menemukan target web yang dapat dieksploitasi dimana:
§ Target tersebut menjalankan sistem informasi tertentu
§ Target tersebut menjalankan software web server tertentu
§ Target tersebut memiliki kelemahan/hole (vunerabilities) tertentu
§ Target tersebut memiliki data sensitif di dalam direktori publik
§ Target tersebut memiliki data sensitif di dalam file publik
§ Selain hal di atas kita juga bisa memanfaatkan google misalnya sebagai server proxy (bagaimana caranya akan dibahas di bagian selanjutnya, walaupun tidak sebagai anonymous proxy), menghasilkan hal-hal yang lucu dari hasil pencariannya, dan banyak lagi hal lainnya dengan memanfaatkan fitur-fitur yang sediakan oleh google (Cobalah situs berikut http://douweosinga.com/projects/googlehacks yang memanfaatkan fitur Web API google untuk membuat kalimat otomatis, membuat kalimat dalam gambar dan lain sebagainya).
Syntax dan Fitur-fitur yang disediakan google
Untuk mendapatkan apa yang bisa dilakukan dengan google ada baiknya kita mengenali syntax yang disediakan oleh google untuk membantu melakukan pencarian. Secara default google mengunakan operand AND apabila kita melakukan pencarian dengan lebih dari satu kata. Untuk pencarian dalam bentuk frasa maka kita harus menggunakan tanda kutip yang melingkupi kata kunci yang kita masukkan. Sedangkan untuk memaksa google agar tetap memasukkan kata-kata umum (misal how, of, for, dll) dalam sistem pencariannya maka kita harus menggunakan tanda plus (+) di depan kata yang umum tersebut. Syntax-syntax ini digunakan secara langsung dalam kolom pencarian dan penggunaannya dapat dikombinasikan. Adapun syntax-syntax lain yang sangat membantu pula dalam pencarian adalah sebagai berikut:
FieldTujuan Penggunaanintitle:Menemukan halaman-halaman web yang di dalam title HTML-nya mengandung katakunci (keyword) yang kita masukkan. Contoh intitle:search berarti akan menemukan halaman yang didalam title HTML-nya mengandung kata search’inurl:Menemukan URL (host, nama path, nama file)yang
memiliki kata kunci yang kita masukkan. filetype:Menemukan tipe file tertentusite:Menemukan halaman pada situs tertentulink:menemukan halaman yang memiliki hiperteks link ke URL tertentu
Dan beberapa syntax lain bisa lihat di
http://www.googleguide.com/advanced_operators.html
Terdapat banyak fitur disediakan oleh google untuk lebih membantu kita sebagai pengguna dalam mendapatkan informasi yang diinginkan. Dari halaman depan google, kita bisa melakukan pencarian gambar melalui pilihan ‘images’, melakukan pencarian arsip dikusi di USENET melalui pilihan ‘groups’, ataupun melakukan pencarian berdasar topik tertentu melalui pilihan ‘directory’. Fitur lainnya akan tampak apabila kita klik menu ‘more’ dalam tampilan awal google. Fitur-fitur tersebut diantaranya fitur translate tool, fitur Web API dan lain sebagainya.
Dimana letak seninya googling ?
Seni dari googling terletak pada kreativitas kita dalam mengolah/memanfaatkan kata kunci dan fitur yang disediakan google sehingga dapat menghasilkan hal/informasi yang umum ataupun tidak umum. Agar lebih jelas bagaimana kita melakukannya, bagian selanjutnya dari tulisan ini akan memberikan contoh dari penggunaan fitur dan kata kunci tersebut.
Google sebagai proxy. Kita dapat menjadikan google sebagai proxy server dengan memanfaatkan fasilitas translate. Walaupun google proxy ini tidak bersifat anonymous, tetapi siapa tahu dengan menggunakan proxy google akses menjadi agak lebih cepat terhadap suatu site (karena sifat connectionless oriented dari protocol IP) atau cukup bisa mengelabui admin yang kurang teliti. Untuk melakukan hal di atas kita bisa memilih menu more dalam google atau menggunakan url berikut http://www.google.com/language_tools?hl=en . Untuk situs yang
berbahasa indonesia, tinggal kita masukkan saja url-nya pada bagian translate web atau masukkan dalam url berikut
http://translate.google.com/translate?u=http//www.situstarget.com&langpair=id|id
. Untuk situs-situs yang berbahasa inggris, tinggal ganti id|id menjadi en|en (sebenarnya untuk situs yang berbahasa Indonesia bagian ujung dari url bebas tidak harus id|id). Sebagai contoh situs target, biasanya saya senang menggunakan jasakom karena menyediakan script untuk menampilkan proxy kita.
Tanpa GoogleDengan Google
www.jasakom.comhttp://translate.google.com/translate?u=http://www.jasakom.com&langpair=id|id
Mecari target untuk suatu eksploit yang ditemukan. Contoh-contoh untuk kemampuan google yang satu ini sudah banyak diketengahkan di situs jasakom. Biasanya syntax yang dipakai adalah “inurl:” plus yang lainnya . Misal kita menemukan bahwa VP-ASP (Virtual Programming - ASP) sebagai salah satu shooping cart yang dikenal di Eropa dan US untuk membuat toko online memiliki kelemahan pada script halaman adminnya. Kelemahan tersebut adalah script adminstrasinya bisa di XSS dan di Injeksi SQL (http://securitytracker.com/alerts/2002/May/1004384.html).
Dengan melakukan XSS atau SQL injection terhadap script inidapat memperlihatkan detail data credit card dari pelanggan. Adapun script administrasinya ada di file shopadmin.asp. Lalu, bagaimana mencari target yang memiliki kelemahan ini, caranya adalah dengan menggunakan keyword berikut pada google
-- inurl:shopadmin.asp “shop adminstrators only” ---
http://www.google.com/search?hl=en&lr=&ie=UTF-8&&q=inurl%3A%22shopadmin.asp%22+%22Shop+Administrators+only%22
.
Menemukan password. Sesuatu yang harusnya tidak untuk diketahui untuk umum, semacam password dan lainnya, karena adanya sedikit kesalahan dalam setting atau lainnya, atau juga karena adanya keinginan orang untuk berbagi, memberikan kesempatan pada google untuk menemukan hal seperti ini. Contoh untuk pencarian password dengan google misalnya dengan mencari file password yang memiliki nama password juga dengan tipe file mungkin txt juga mungkin dat. Kita ambil contoh keyword --- filetype:dat “password.dat” -- http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=filetype%3Adat+%22password.dat%22 . (jika ditemukan password yang dienkripsi, silahkan
deskripsi dengan JTR atau program yang lainnya. Lebih mudah untuk melihat hasil pencarian dengan mengikut link “cached” dari google). Keyword lain yang dapat digunakan -- filetype:bak inurl:"htaccess|passwd|shadow|htusers" -- , --- "# -FrontPage-" inurl:service.pwd --
Bagaimana mencari password yang dishare orang lain (pihak ketiga) terutama untuk situs yang ehmm ehmm ;). Situs-situs tersebut biasanya di authenticasi dengan cara standar yang memungkinkan kita melakukan akses dengan mengetikan pada address bar menggunakan pola ‘http://xxxxx:xxxxxx@www.hehehe.com/members’. Untuk itu, bisa kita coba dengan mengetikkan keyword frasa berikut pada google
-- “http://*:*@www”—untuk tambahan query bisa kita tambahkan
setelah frasa dengan nama situsnya misal ..... (silahkan tebak sendiri he...he..)
Melihat direktori tertentu dari suatu site. Suatu site yang tidak terkonfigurasi dengan baik akan memungkinkan google dapat menampilkan struktur file yang mungkin cukup sensitif. Keyword untuk tujuan ini biasanya menggunakan frasa “index of”. Contoh keywordnya adalah -- intitle:"index.of.secure" -- intitle:"index.of.secure" – intitle:’index of cgi-bin” --- .
Mencari kelemahan suatu server dari hasil kerja orang lain.
Untuk menemukan informasi kondisi suatu server, kadang-kadang
kita tidak perlu melakukan sendiri scanning terhadap server
tersebut. Kita bisa mecari bagaimana profil suatu server
menggunakan google berdasarkan laporan dari pihak lain yant
telah melakukan assesment untuk suatu serve. Bisa dicoba
sontohnya dengan keyword berikut -- filetype:pdf "Assessment
Report" nessus –
Penutup
Apa yang diketengahkan di atas hanya sebagian kecil dari kreativitas mengolah keyword untuk google. Masih banyak lagi yang belum dinyatakan dalam tulisan ini yang mungkinrekan-rekan telah ketahui sebelumnya atau mungkin rekan-rekan sendiri yang punya ide baru dalam mengolah keyword untuk google. Dan yang pasti, koleksi terbanyak ada di net sana (coba – filetype:txt inurl:googletut1 -- )
Acknowledgement
Keyword-keyword di atas dikenal dengan istilah “googledork” yang dicetuskan oleh j0hnny dari ihackstuff. Thanks to j0hnny. Rujukan utama tulisan ini adalah tulisan dari j0hnny. Terima kasih pula untuk rekan-rekan yang ungkapannya untuk google saya kutip untuk tulisan ini serta kepada penulis lain yang papernya digunakan dalam menyusun tulisan ini. Tidak lupa pada jasakom yang menyediakan script uji coba dan mau menampilkan paper ini.
kahartospisan [at] yahoo.com
Berikan Pendapat Anda Untuk Artikel Ini
0 komentar:
Posting Komentar