OSINT Open Source Intelligence

The power of the Search Engine Attacks

El presente manual muestra desde un punto de vista prctico cmo emplear los diferentes buscadores de
contenidos disponibles en internet para realizar labores de inteligencia de fuentes abiertas (OSINT)
mediante taxonomas y ontologas.
La Inteligencia de Fuentes Abiertas (OSINT) es aquella recopilada a partir de fuentes disponibles al
pblico. En la comunidad de inteligencia, el trmino "abierto" se refiere a las fuentes abiertas, disponibles
al pblico (a diferencia de las fuentes privadas o semiprivadas). De esta forma, se podra definir OSINT
como una forma de recolectar informacin y datos a los que aplicarle una cierta inteligencia lo cual
implica encontrar, seleccionar y adquirir informacin desde fuentes pblicas, como buscadores, para
poder analizarla y obtener gran cantidad de informacin acerca de una determinada temtica.
El alcance del manual se circunscribe a Google, Bing, Yahoo y, por supuesto, Shodan, centrndose
principalmente en este ltimo y Google
Para poder realizar bsquedas avanzadas que permitan obtener ciertos datos de valor e necesario definer
primero los operadores/comandos de los diferentes buscadores.

Google
En el caso de Google los principales son los siguientes:
- site:
o

Permite definir una bsqueda que muestre los resultados de un sitio en

concreto. Por ejemplo:
site: highsec.es
Mostrar resultados dentro del dominio de highsec.es

intitle:
o

Buscar la cadena que le sea pasada como parmetro, pudiendo estar slo
parte de dicha cadena en el ttulo. Por ejemplo.
intitle:"index of /"
Esto permitir buscar servidores que tengan un listado de archivos mediante
un index of.

allintitle:
o

Similar al anterior pero indicando de forma expresa y obligatoria que toda la

cadena que sea definida tiene que aparecer en el ttulo. Por ejemplo:
allintitle:"index of /admin/"
Buscar
todos
los
resultados
que
coincidan
exactamente

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

inurl:
o

Permitir buscar una determinada cadena dentro de la URL. Por ejemplo:

inurl:"c99.php"
Lo cual nos mostrara los servidores que tengan instalada una shell c99 en php.

allinurl:
o

intext:
o

Permitir buscar los resultados que solo contengan de forma exacta lo que
hemos buscado. Por ejemplo:
allintext:"@yahoo.es:pass"
Este comando nos podra permitir buscar algunas cuentas de yahoo.es.

cache:
o

Permite hacer una bsqueda de la cadena en el texto de los resultados, ni

en el ttulo, ni en URL, etc... Por ejemplo:
intext:"@gmail.com password="
Este resultado nos podra mostrar algunas cuentas de correos de Google con su
usuario/email y contrasea.

allintext:
o

Similar al anterior "all", pues la diferencia con inurl es que en este comando
todo debe aparecer obligatoriamente en la URL. Por ejemplo:
allinurl:"and+1=0+union+select+1"
Esta query devolver pginas que muy posiblemente sean vulnerables a un SQLi.

Permitir ver una pgina en la cache de Google, por lo que no ser

necesario conectarse a la pgina real. Esto es muy prctico en la fase de
fingerprinting en un test de intrusin. Por ejemplo:
cache:highsec.es
Esto mostrara la pgina de highsec.es que tiene Google en cache.

info:
o

Proporcionar cierta informacin acerca de un dominio. Por ejemplo:

info:highsec.es

Donde solicitar si queremos mostrar la pgina en cache, si queremos ver

webs similares, si queremos ver aquellas pginas que tengan un enlace a
highsec.es, si queremos buscar las diferentes pginas de HighSec o si
queremos buscar las web donde aparezca la frase highsec.es.

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

link:
o

Permite buscar las pginas que tienen un determinado link. Por ejemplo:
link: www.highsec.es
Es importante recalcar que buscara SOLO ese link, que sera distinto de highsec.es

ext:

Buscar la cadena introducida como la extensin del archivo. Por ejemplo:

ext:php3
Esto nos permitir hacer bsquedas donde los resultados sean archivos
.php
filetype:
o Similar al anterior, pero Google encontrar unos determinados tipos bien
conocidos como: pdf, doc, docx, xml, txt...
filetype:txt inurl:robots
Esta bsqueda sacar los archivos robots.txt
'-' (El menos):
o Permitir negar un determinado operando. Por ejemplo:
-filetype:pdf
Buscar cualquier resultado menos archivos pdf.
'||':
o Permitir aadir varias condiciones (Es un OR). Por ejemplo:
ext:txt || ext:sql intext:password intext:username
Esto sera un comando que permitira obtener algunos archivos con usuarios y
contraseas que tengan extensin txt o sql.

'&&':
o

Permite hacer un AND de dos condiciones, es decir que tiene que

cumplirse las dos en los resultados a buscar. Por ejemplo:
ext:txt || ext:sql intext:password && intext:username
o
(ext:txt || ext:sql) (intext:password && intext:username)
Esta bsqueda sera similar a la anterior pero se impone como condicin que
tiene que aparecer tanto password como username en el texto.

La Google Hacking DataBase (GHDB) es un proyecto que surgi hace algunos aos donde la
gente comparte sus dorks personalizados, nombre que se le da a las bsquedas avanzas que
hacen uso de operadores para conseguir una cierta informacin.
http://www.exploit-db.com/google-dorks/
http://www.hackersforcharity.org/ghdb/
Existen gran variedad de dorks, pero suelen ser deprecated porque, aunque sin duda supone un
buen punto de partida para obtener una visin general de cmo s e podra plasmar en un
comando de Google una bsqueda completa en internet de una forma precisa, aunque como se
THIBER, the cybersecurity think tank
Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

ver ms adelante, es cuestin de definir bien los criterios y parmetros de bsqueda.

Antes de profundizar en el uso de los dorks y mostrar el proceso de definicin que un analista
debera seguir, se definir el trmino "Google Hacking", siendo uno de los mtodos principales
que utilizan/utilizaban algunos grupos como Lulz o Anonymous para llevar a cabo sus ataques.
Esto se debe a que pueden llegar recopilar gran cantidad de informacin de la vctima como
pueden ser cuentas de redes sociales, informacin confidencial y un sin fin de datos de utilidad.
En estas circunstancias, es realmente prctico usar la cach de Google para visitar una pgina,
ya que de esta forma no se realizar una conexin directa con el objetivo y por lo tanto no se
dejar ningn rastro.
En este punto se muestra los distintos vectores de informacin accesible a un potencial atacante
como cuentas de correo, servidores mal configurados, documentos confidenciales, pginas que
han sido hackeadas, localizar vulnerabilidades web, cmaras IP, etc.
En el caso de las cuenta de correos, cabra preguntarse qu tipo de archivos podran estar
almacenados en unas cuentas en un servidor de correo, como podran ser archivos sql, log y xls.
Tras este punto, se debera pensar cmo buscar un correo y despus cmo localiza una
contrasea dentro de un fichero. Esta podra ser una de las cadenas de bsqueda:
ext:sql (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password ||
pass)
Donde se estara buscando en un archivo sql las cadenas @hotmail., @gmail. y
@outlook., lo cual permitir encontrar cuentas de cualquier pas ya sean @gmail.es o
@gmail.com por ejemplo. Y por ltimo se procede a realizar la bsqueda en el texto que
aparezca password o pass.
Como se puede comprobar, aparecen algunos resultados:

Ahora se selecciona el enlace deseado y se visualiza a travs de la cach del propio navegador,
de tal forma que nicamente se quedara registrado en Google:

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Este extremo podra seguir desarrollndose para dar lugar a otros dorks como por ejemplo:
Cuentas de correo:
ext:sql (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password || pass)
ext:xls (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.*) (intext:password || pass)
Cuentas de correo de gobiernos:
ext:sql (intext:@gov.* || intext:@gob.*) (intext:password || pass)
ext:xls (intext:@gov.* || intext:@gob.*) (intext:password || pass)
(ext:sql ||ext:xls) (intext:@gov.* || intext:@gob.*) (intext:password || pass)
Cuentas de correo generales:
(ext:sql ||ext:xls) (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.* || intext:@gov.*
|| intext:@gob.*) intext:password
ext:log (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.* || intext:@gov.* ||
intext:@gob.*) intext:password
Cuentas de correo en los logs:
ext:log (intext:@hotmail.* || intext:@gmail.* || intext:@outlook.* || intext:@gov.* ||
intext:@gob.*) intext:password
A continuacin se muestran algunos ejemplos de cmo se podra encontrar servidores
vulnerables. Es importante especificar que el resultado depende de lo que se desee buscar, ya
sea una vulnerabilidad, configuraciones por defecto u otro valor. En este caso se muestra cmo
sera posible obtener las configuraciones de un servidor para capturar las credenciales de acceso
va web y ftp.
filetype:config inurl:web.config inurl:ftp
Otros posibles ejemplos podran ser los siguientes:
Index of de sitios gubernamentales:
(site:gob.* || site:gov.*) intitle:"index of /" intext:"Last modified Size Description"
THIBER, the cybersecurity think tank
Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Servidores ftp gubernamentales:

(site:gob.* || site:gov.*) inurl:"ftp://ftp" site:ftp.*
intext:warning intext:/var/www/ ext:php (site:gob.* || site:gov.*)
Para localizar documentos de carcter confidencial, lo primero que se podra hacer es filtrar la
bsqueda nicamente a dominio de cualquier gobierno, despus buscar de diversas formas la
palabra confidencial o confidential. Algunos ejemplos podran ser los siguientes en donde se
buscan documentos que no sean pblicos, documentos que sean algn tipo de reporte y datos
confidenciales referentes a contabilidad y datos bancarios.
Archivos confidenciales de sitios gubernamentales:
(site:gob.* || site:gov.*) && (intitle:confidential || intitle:confidencial) ext:pdf future
(site:gob.* || site:gov.*) intext:"confidential reports" ext:pdf future
Que no sean pblicos:
(site:gob.* || site:gov.*) intext:"confidential reports" ext:pdf -"public"
Contabilidad y bancarios:
(site:gob.* || site:gov.*) intext:"confidential" ext:xls -"public" (site:gob.* || site:gov.*)
intext:"confidential" ext:xls -"public" "financial" intext:"confidential" ext:xls -"public" "financial"
"bank" "account"
Ahora que ya se vislumbra la potencia que realmente tienen los operadores avanzados de
Google para obtener informacin, se procede a analizar cmo se podra localizar una pgina
gubernamental que haya sido hackeadas. Para ello un ejemplo podra ser el siguiente:
(site:gob.* || site:gov.*) intitle:"hacked by"
O buscando por ejemplo archivos /etc/passwd pblicos en sitios gubernamentales que
potencialmente podran permitir acceso al servidor. Un par de ejemplos serian:
inurl:"/etc/passwd"
ext:php
(site:gob.*
||
site:gov.*)
intext:root:x:0:0:root:/root:/bin/bash ext:php (site:gob.* || site:gov.*)
A fin de localizar vulnerabilidades web, se podra por ejemplo buscar por un error muy tpico de
MySQL que es Warning: mysql_fetch_array, indicando que hay un error en la consulta que
est realizando la aplicacin web a la base de datos y que muy posiblemente sea susceptible a
un SQL Injection. Para buscar esto podramos hacer una consulta como:
intext:"warning mysql_fetch_array" inurl:.php?*= ext:php
Tambin se podra buscar pginas susceptibles a SQL Injection donde algn usuario ya ha
intentado realizar el ataque lo cual podra significar que son vulnerables como por ejemplo:
(site:gob.* || site:gov.*) inurl:"union+select+1" filetyp:php

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Para terminar, se analiza cmo se podra localizar algunas cmaras IP, aunque para esto se ver
ms adelante que el buscador Shodan es ms eficaz. En este caso el dork empleado es eficaz en
tanto en cuanto se ha identificado que slo ese tipo de modelo de cmaras IP tiene esa URL, por
lo tanto es algo identificativo que al buscar en Google permite encontrar dichas cmaras. El
ejemplo sera el siguiente:
inurl:/control/userimage.html
El ejemplo visto es un caso puntual, pero si se desease buscar otro tipo slo sera necesario
investigar algn patrn que sea identificativo, ya sea que siempre se pone el mismo ttulo, que
en la web siempre aparece alguna cadena concreta, etc.

Bing
Bing, buscador de Microsoft, comparte operadores con Google como pueden ser: ext, filetype,
intitle, site, los operadores || y &&.
Por otro lado se introducen algunos distintos, como:
-

ip:
o

Permitir buscar por una IP concreta.

Sustituye al inur

url:

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Aunque Bing es otro buscador ampliamente usado al realizar labores de OSINT o para identificar
a un objetivo en un test de intrusin hay que decir que se obtienen menos resultados que en
Google, aunque a veces pueden ser distintos, de ah la necesidad de ejecutar bsquedas con
ambos.

Yahoo
Comparte con Google los siguientes: site, link, inurl, intitle, y adems tiene:
- hostname:
o Que permite buscar por un dominio concreto

Shodan
Qu es Shodan?
Se podra decir que es un buscador como Google, pero tiene una muy importante diferencia y
es que Google va recorriendo Internet y cacheando o almacenando la informacin web, es
decir la que se puede visualizar a travs de un navegador, ya sea http, https, http-alternativo,
ftp, etc.
Shodan, sin embargo, recorre internet escaneado cada IP, sacando los servicios que tiene
abiertos, capturando y cacheando el banner que le devuelve el servicio. Esto nos permite hacer
bsquedas en la informacin retornadas por los servicios, de tal forma que permite encontrar,
por ejemplo, todos los servidores apache de la versin 2.20, todas las IPs de Madrid que tengan
telnet abierto, etc.
A continuacin se profundiza en qu es, qu operadores implementa tanto para un profesional
que ejecuta un test de intrusin o realiza labores de OSINT, as como la visin que podra tener
un atacante.
Los operadores o comandos en Shodan para buscar son los siguientes:
- city:
o bsqueda dirigida en una ciudad. Por ejemplo:
apache city:"Madrid"

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

country:
o Bsquedas por pas. Por ejemplo:
ssh country:es
Esto mostrara todo lo que encuentre de SSH en Espaa

geo:
o

Especificando una posicin mediante latitud y longitud. Por ejemplo:

scada geo:40.02,4.03

Permitir buscar coincidencias de SCADA en Madrid.

hostname:
o Bsqueda de
un dominio concreto. Por ejemplo:
hostname:uam.es
o
hostname:.es
net:
o Bsqueda en un rango de red. Por ejemplo:
net:8.8.8.8/32
o
net:8.8.8.8
os:
o

Bsqueda por sistema operativo. Por ejemplo.

os:linux city:"Madrid.

port:
o

Este comando es bastante importante ya que permite filtrar los resultados

por puerto. Por ejemplo:
port:23 city:"Madrid"

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

before/after:
o Sirve para filtrar los resultados segn cuando los haya escaneado Shodan por
ltima vez.

'-':
o

Para definir que el parmetro que le sigue tiene que excluirlo de los
resultados. Por ejemplo.
port:23 -city:"Madrid"
Esto permitira buscar todas las IP que tengan el puerto 23 abierto que NO
sean
de
Madrid

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

'|':
o

Para realizar el OR de Google. Por ejemplo:

port:21 | port:22

Una vez analizados todos los comandos, se procede a realizar combinaciones de los mismos. A
continuacin se muestra una gran lista de dorks para Shodan que se han realizado a modo de
ejemplo para que se pueda apreciar ver la cantidad de elementos conectados a internet que es
posible encontrar gracias a este buscador.
Para conseguir estos dorks es conveniente seguir una metodologa de trabajo especfica, y lo
primero es tener claro exactamente qu se desea encontrar para, una vez definido, visitar las
webs de los fabricantes, localizando el producto y localizando especificaciones, fotos que
puede tener la web, qu banner tiene, qu puertos le identifican, si es necesario o no
autenticacin en la pgina principal, etc Con todos estosdatos es relativamente sencillo ir
construyendo dorks que cada delimiten ms el objetivo.
En caso de que el dispositivo a buscar tenga contrasea, muchas veces su valor es el que tiene
por defecto de fbrica, por lo que nicamente tendremos que localizar el manual del
fabricante y comprobar cul es, de esta forma cualquier atacante podra entrar en un sistema
mal configurado de una forma trivial.
A continuacin se muestran algunos ejemplos:
Routers por defecto:
Routers de ONO [Password por defecto vacio/admin]:
WWW-Authenticate: Basic realm="Thomson" country:ES org:"ONO"
Routers Huawei [Open]:
title:"huawei home"
Routers D-Link [Open o admin/vacio]:
title:"home router" server:"siyou server" org:"Mega Cable, S.A. de C.V."
Routers Israel [admin/admin]
title:"residential gateway" "Content-Length: 2771"
Routers GPON [root/admin]
title:"GPON Home Gateway"
Routers y PBX Orange [admin/admin]
title:livebox
Routers Telefnica [Sistema contra hackers, por defecto 1234/1234]
title:"Home Station"
Routers Telefnica [Pass por defecto 1234/1234, telnet abierto]
title:"Web-base configurator" country:es

Casas Inteligentes:
Casas

inteligentes
[admin/admin]
THIBER, the cybersecurity think tank
Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

title:"My Home" Content-Length: 198

title:"myhome"
Cmaras (Solo algunos ejemplos):
Marca iQeye:
title:iqeye
Android:
title:"Android Webcam
Android Webcam

Server"

Referente al tema de las cmaras dentro de poco lanzare una herramienta pensada
para realizar pentest y autopwn de estos dispositivos.
Sistemas de Ventilacin, Alarmas, Luces, etc..:
title:"real time monitoring avtech"
Server:IQ3 Content-Length: 184

(Regular temperatura, ventilacin, alarmas..)

Sistemas SCADA:
Planta petrolfera:
title:"Web Scada" o "INDIAS WEB SCADA"
UPS Liebert:
title:liebert port:80
i.Lon Enterprise energy management and streetlight management [(ilon/ilon)]:
title:"i.LON
SmartServer
2.0"
Server: WindRiver-WebServer/4.4
Sistemas Satlites ComTech [comtech/comtech]:
title:comtech
Servidores de almacenamiento:
title:"synology
nas"
title:"diskstation nas"
Sistemas de audio:
title:"qsa 500"
Server: eCos/1.0 200
Sistemas
solares:
title:"atlas
solar"
title:"control solar"
Termostatos
/
title:"Thermostat
title:"Control | Air Post"

aire:
control"

Sistemas Catherpila:
title:"Communicator" Server: Z-World Rabbit
THIBER, the cybersecurity think tank
Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Controlador Switch:
title:"Calypso"
Cajas fuertes:
title:"CacheTalk III"
Controladores SCADA Schneider y otros:
title:" PowerLogic" (vacio/admin)
title:"FactoryCast" (USER/USER y ftp:ntpupdate/ntpupdate)
Control de los pacientes en hospitales:
title:"tracevue"
Semforos:
executive 3.3
title:"Pips Technology P357 Error"
ruggedcom port:23 (admin/admin o guest/guest !!!!)
ruggedcom port:80 (admin/admin o guest/guest !!!!)
Paneles de carreteras:
Daktronics
Sensores:
akcp
Varios:
title:"smartcontrol" (Backdoor superman/superman)
title:Bacnet
A continuacin se muestran algunas imgenes de utilidad cuando se est buscando ciertos
dispositivos como pueden ser cajas fuertes conectadas a internet o los controladores de
semforos.
Imgenes de algunos ejemplos:
Control de sistemas de trfico:

THIBER, the cybersecurity think tank

Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]

Control de cajas fuertes desde internet:

AUTOR: Eduardo Arriols Nuez

Correo: [email protected]
THIBER, the cybersecurity think tank
Universidad Autnoma de Madrid, Campus de Cantoblanco, C/ Toms y Valiente, n 11, Edificio
C. Tercera Planta 28049 MADRID (ESPAA)
[email protected]