Google hacking

[stone.dr]

Als ich neulich diesen "Werbe-Thread" im Habo gelsen habe (wurde mit Recht deleted), musste ich auch schmuneln.
Besonders eine Frage in dem Forum war sehr witzig:

Neulich habe ich mal gehört das man über google sich in Pc's hacken kann. wisst ihr davon was? Wäre echt super wenn ihr es wissen würdet

Doch irgend wie wollte mir diese Frage nicht aus dem Kopf gehen.
Ich fragte mich also, ist es möglich mit Hilfe von google in einen fremden PC einzudringen.
Grundsätzlich nein, da sind wir uns alle sicher, aber wir wissen auch, google ist einer der meistbesuchten Seiten im Internet.
Also überlegte ich mir, wie ein "theoretischer Angriff" aussehen könnte.

Mit nur 4 Zeilen Code (batch), ist es möglich folgende Systemänderung vorzunehmen.
1. Umleitung der Seite google.de auf eine andere Seite, ohne dass das Opfer etwas davon merkt -sprich jedesmal wenn das Opfer die Seite google.de aufruft, wird scheinbar die Seite www.google.de aufgerufen.
2. Den Ordner c: (z.bsp.) freigeben. Dabei wird auch das verändern der Daten erlaubt.

-> die Verbreitung von diesem code, der von allen von mir getesteten Virenscannern nicht entdeckt wird (Antivir, Norton, Bitdefender, GData Inetnetsec.),ist dem Einfallsreichtum des Angreifers und der Unwissenheit der User überlassen.
(geiletussi.jpg.bat)

-> Die Firewalls Zonealarm, GData Internetsec. sowie die XP Firewall haben eine Netzwerkverbindung nicht verhindert.

Doch wie kommt der Angreifer an die IP und wie sieht das dann beim Opfer aus?

Also, das Opfer schreibt www.google.de in den Browser, wird aber auf eine Seite im Internet umgeleitet (ich zum Bsp. habe eine Topleveldomain mit eigener IP).
Auf der Index befindet sich eine Weiterleitung zu einem dyndns (da sich die IP des Angreifers ja spätestens nach 24h ändert).
Beim Angreifer ist ein IP-stealer, der die IP des Opfers abfängt und dann mittels Browserweiche auf eine andere Seite umleitet (msn-search z.bsp)
Google geht nicht (habs getestet), weil ja der host google auf die seite mit der Umleitung führt -> es würde eine Endlosschleife geben.
Mit der IP kann sich der Angreifer in den Rechner einloggen.

Das erschreckenste am ganzen, die getesteten Firewalls lassen den Angreifer durch, da (ich mutmaße jetzt mal), das System über der Firewall steht.

Leider darf ich den batch Code nicht posten, aber ich werde demnächst ein kleines Video machen und zeigen, dass die Sache funktioniert (mit 2 PCs).

 

[2Bios]

entweder ist es noch früh am morgen oder ich verstehs nicht... ?(
ich bin auf's video gespannt

 

[Bogus]

Ok hört sich schon nen bissel logisch an , aber wie willst du die abgeänderte google version in den bowser start bekommen dazu musst du ja ersmal auf dem rechner sein !
oder ein user müsste sich in 200000 jahren mal vertippen um auf deine URL zukommen 8)

ja toll das würde gehen aber dann auch nur wenn du der man in der mitte bist oder ihn schon steuern kannst aber so nix ;D aber ich werde den thread nicht weiter unterstützen weil das hört sich schon skript kiddy an sorry ...

 

[naked_chef]

1. Umleitung der Seite google.de auf eine andere Seite, ohne dass das Opfer etwas davon merkt -sprich jedesmal wenn das Opfer die Seite google.de aufruft, wird scheinbar die Seite www.google.de aufgerufen.

Dazu müsstest du es wie schon erwähnt erst einmal dazu bringen, das sich leute auf die manipulierte seite verirren. die könnte man eventuell über Pharming oder Phishing realisieren.

Die Firewalls Zonealarm, GData Internetsec. sowie die XP Firewall haben eine Netzwerkverbindung nicht verhindert.

warum sollten sie auch, laut deiner theorie, baust du doch lediglich eine umgeleitet http-anfrage auf.

okay, du hast es bis hier vielleicht geschafft firewall & co auszutricksen, aber bis jetzt handelt es sich auch nur um ausgehenden verkehr über den browser.

Mit nur 4 Zeilen Code (batch), ist es möglich folgende Systemänderung vorzunehmen.
1. Umleitung der Seite google.de auf eine andere Seite, ohne dass das Opfer etwas davon merkt -sprich jedesmal wenn das Opfer die Seite google.de aufruft, wird scheinbar die Seite www.google.de aufgerufen.
2. Den Ordner c: (z.bsp.) freigeben. Dabei wird auch das verändern der Daten erlaubt.

dies würde heissen, du versuchst eine verbindung aus dem internet zu diesen rechner her aufzubauen ... spätestens hier werden dir die firewalls ein dorn im auge werden.
es sei denn dein 4 Zeilen Code beinhalten auch eine regel um die firewalls zu manipulieren oder gar zu deaktivieren.

ich lasse mich auch gern eines besseren belehren.
das video wird bestimmt interessant, aber wird wohl dennoch ehr etwas für kleiner netze sein...

 

[Gnome]

Original von naked_chef

1. Umleitung der Seite google.de auf eine andere Seite, ohne dass das Opfer etwas davon merkt -sprich jedesmal wenn das Opfer die Seite google.de aufruft, wird scheinbar die Seite www.google.de aufgerufen.

Dazu müsstest du es wie schon erwähnt erst einmal dazu bringen, das sich leute auf die manipulierte seite verirren.

Naja, er leitet ja die Anfrage nach www.google.de (die die meisten ja täglich aufrufen) auf "seine" site um.

 

[naked_chef]

Naja, er leitet ja die Anfrage nach www.google.de (die die meisten ja täglich aufrufen) auf "seine" site um.

ja, aber wie will er das schaffen?
wenn er es mit einem batch- code machen will, würde das ja heissen, er müsse erst einmal den user dazu bringen seinen code auszuführen oder den rechner selber infiltrieren.

 

[Utzk]

Original von naked_chef

Naja, er leitet ja die Anfrage nach www.google.de (die die meisten ja täglich aufrufen) auf "seine" site um.

ja, aber wie will er das schaffen?
wenn er es mit einem batch- code machen will, würde das ja heissen, er müsse erst einmal den user dazu bringen seinen code auszuführen oder den rechner selber infiltrieren.

Darum ja der Hinweis mit dem .jpg.bat . Sicher, die Batch auf den PC zu kriegen ist noch der "schwierigste" Teil, aber Virenscanner werden diese sicherlich nicht erkennen (Tut ja zum Umleiten nichts weiter als <irgendwo> Daten reinzuschreiben )

 

[Gnome]

hast du mal probiert, wie schnell leute irgendwelche dateien ausführen? Starte am ende der batch nen kleines spiel, mach das ganze mit so nem cnverter zu ner exe und nenn es happy.exe

oder du benennst es in aquarium.scr um. 9/10 leuten führen die datei aus...

 

[naked_chef]

nagut aus dieser sicht ...

aber da gilt halt wieder der spruch:
öffne nix was du nicht kennst und wo wie quellen unseriös sind.

 

[Gnome]

Den gibts, aber wieviele Menschen ignorieren ihn?

Wenn ihm mehr Beachtung geschenkt würde wären 50% der IT-Dienstleister arbeitslos

 

[Utzk]

...because there is no patch for human stupidity.

Darum funktioniert sowas ^^

Die Frage bezüglich des eigentlichen Threads bleibt allerdings, wozu es noch nötig ist, die Leute über Google zum eigenen Server umzuleiten, wenn man doch schon mitten drin in Ihrem Rechner sitzt. Aber ich warte trotzdem mal gespannt auf das Video =)

 

[sheepd]

Original von Utzkwozu es noch nötig ist, die Leute über Google zum eigenen Server umzuleiten, wenn man doch schon mitten drin in Ihrem Rechner sitzt

Weil du besagte Batch-Datei dann einfach _irgendwie_ verbreiten kannst.
Dadurch, dass z.B. ein Eintrag von google.de auf $meine_domain in der hosts-Datei angelegt wird, kriegt deine Domain die IP des Aufrufers (und damit die Möglichkeit überhaupt erst auf ihn zuzugreifen) und muss ihm dann lediglich vorgaukeln, dass er tatsächlich google.de aufruft... das ist nicht allzu schwer.
Ich versteh schon, was du meinst. Man könnte einfach in diese anfängliche kleine Datei ein Programm verpacken, welches automatisch und im Hintergrund die eigene Seite aufruft und Freigaben schaltet.
Allerdings würde dann die Firewall (je nach Warnstufe) meckern und einen Zugriff von dem Programm melden (es sei denn, man wartet bis der User den Browser startet und übernimmt diesen Prozess, um seine Anfrage zu verschicken, was allerdings schon deutlich mehr Programmierarbeit wäre).
Also landest du im Endeffekt bei genau der gleichen Vorgehensweise, nur eben dass die Batchdatei wesentlich einfacher ist, und die dazugehörige "Google-Spiegelung" lässt sich wahrscheinlich schon mit einem Iframe realisieren.
E: Hab mal n bissl damit rumgespielt, mehr als

<iframe frameborder="0" scrolling="auto" width="100%" height="100%" src="http://google.de">

braucht man an HTML nicht dazu.
Um Leute zu täuschen, denen evtl. der leere GET-Teil der URL auffallen könnte, bräuchte man nur unwesentlich mehr Code im PHP-Teil der Seite.

 

[CraHack]

Sheepd du kannst keinen Iframe mit dem Ziel "www.google.de" einbinden, weil das ja auf deine Seite zeigt. Auch wenn der Effekt recht interesannt sein könnte...

Edit:
Oder kann man da unterschiede zwischen "http://www.google.de" und "http://google.de" machen? Also in der Umleitung meine ich.

 

[Zero_X]

Sorry wenn das jetzt ein wenig OFFTOPIC ist aber ich glaube mit "Google Hacking" ist eher sowas gemeint:

http://neworder.box.sk/newsread.php?newsid=8203

Also zum Beispiel Namen von serverseitigen Skripten (PHPs, CGIs, usw...) in Google als Suchbegriff eingeben und auf bekannte Bugs absuchen.

 

[Xalon]

Original von CraHack
Sheepd du kannst keinen Iframe mit dem Ziel "www.google.de" einbinden, weil das ja auf deine Seite zeigt. Auch wenn der Effekt recht interesannt sein könnte...

Edit:
Oder kann man da unterschiede zwischen "http://www.google.de" und "http://google.de" machen? Also in der Umleitung meine ich.

Oder vielleicht die IP statt google.de

Xalon

 

[adrian90]

Wenn die Datei auf dem PC ist, kann man die Hosts-Datei abändern, dass eben die Google-Seite, oder die meistbesuchte (Wenn es eine EXE ist, kein Problem mehr), auf 127.0.0.1 umleiten, gleichzeitig einen Webserver starten, der, wenn die Anfrage über die eigene IP kommt, die gewünschte Seite oder die Google-Seite aufruft. Die Frage ist dann nur noch, ob dies etwas bringt. Dazu kann man aus dem Webserver gleich noch einen Trojaner machen.

Aber ich finde, dass das Umleiten eigentlich nichts bringt. Da kannst du gleich einen Trojaner machen. Sonst kann man da nichts anfangen.

 

[stone.dr]

Muss mich erst mal entschuldigen, dass das mit dem Demonstrationsvideo noch ein wenig dauert.
Ich wollte ja zeigen, wie ein realer Angreifer ein Lücke zu seinem Vorteil ausnutzen kann und in einen Anderen Rechner kommt (mit 4 Zeilen batchcode und ein paar html Seiten).
Ich bin beruflich gerade so eingespannt, dass das mit dem Video (auf 2 Rechnern) bis zum Wochenende herausgeschoben wird.
Ich dachte eigentlich, dass ich durch mein Startposting schon alles recht gut erklärt habe.
Da hier aber trotzdem eine rege Diskussion entstanden ist (was ich gut finde), habe ich mal den Code auf meinen Rechner ausgeführt, um zu zeigen was passiert.
Das Video hierzu bekommt Ihr hier

Die recht guten Ratschläge die mit dabei sind, werde ich noch testen, ich will den Code aber weder verbreiten noch damit unsinn machen (soviel möchte ich noch anmerken).
Es geht hier lediglich um die Möglichkeiten eines Angriffes.
Ach ja und bevor ich es vergesse, bei einem Router bringen die Freigaben i.d.Regel nichts, wobei es da auch 1-2 Dinge gibt, die man beachten muss.

 

[sirphreak]

- das Video hat keinen Inhalt
- das posten der batch wäre effektiver als irgendjemand beim tippen zu zu sehen
- die Methode ist weder neu, noch spektakular, siehe "Man in the Middle"
- die Batch muss auf den Rechner!, da kann man dann auch gleich ein schönes Rootkit senden, das ist effektiver und der Rechner lässt sich leichter kontrollieren.

-- Das ganze hat nichts aber auch garnichts mit google zu tun, du nutzt lediglich Webseite XYZ (hier zufällig google.de) um das arme Opfer auf deine Site zu kriegen, von der aus du auch nichts machen kannst, als den USer beim googlen zu beobachten, wenn du an Daten willst, musst du wieder per Rootkit/Trojaner ran, und DAS merken die Virenscanner.

Login spoofen klappt auch net, da gibt's dann nette Zertifikatswarnungen ...

mfg sirphreak

 

[dupLex]

omfg. ich bin ja fast vom hocker geflogen.
ich muss mich echt sirphreak anschließen. das sind dinge, die aufen den board auch schon des öfteren besprochen wurden.
die umleitung wurde mittels nen eintrag inner host-datei gemanagt und für den trick mit der freigabe haste einfach nen registry-eintrag gemacht.
das hat mit google-hacking wirklich rein garnix zu tun.

es war ma ganz lustich anzusehen aber wirklich nicht der burner.
man kann diese methode auch gut dafür verwenden, damit man sich solche schwierigen urls wie web.de nicht merken muss :evil:
ist auf jeden ausbaubar.

greetz

 

[stone.dr]

Ich dachte ich sei da auf was neues gestoßen.
Aber wenn das alle hier schon kennen, dann spar ich mir die weiteren Mühen (Kumpel überreden, dass er mitmacht, die index von meinem Server Zeitweise umschreiben und das 2. Video).