Hack ID pass seseorang melalui Google

google sebagai web pencarian no 1 saat ini memang belum ada duanya. teknik pencarian dengan penggunaan macam tipe dan operator membuat user dapat membuat berbagai macam variasi pencarian. kita tidak akan membahas berbagai macam operator tersebut, karena judul artikel ini mendapatkan password dan username.

semua tabel dalam artikel ini diambil dari buku
“google hacking for penetration testers”, mungkin ada temen2 yang belum sempet baca jadi saya tulis aja biar semua bisa menikmati. biar temen2 yang masih newbie tidak terheran heran jika seseorang bisa mendapatkan banyak passworddari website. jadi gak usah heran….

TABEL KATA KATA KUNCI MENDAPATKAN USERNAMES


———————————————————
KATA KUNCI | KETERANGAN
———————————————————
inurl:admin inurl: |userlist Generic userlist files
———————————————————
inurl:admin filetype: |asp Generic userlist files
inurl:userlist |
———————————————————
inurl:php inurl: |Half-life statistics file, lists username and
hlstats intext: |other information
Server Username |
———————————————————
filetype:ctl |
inurl:haccess. |Microsoft FrontPage equivalent of htaccess
ctl Basic |shows Web user credentials
———————————————————
filetype:reg |
reg intext: |Microsoft Internet Account Manager can
———————————————————
”internet account manager” |reveal usernames and more
filetype:wab wab |Microsoft Outlook Express Mail address
|books
———————————————————
filetype:mdb inurl:profiles |Microsoft Access databases containing
|profiles.
———————————————————
index.of perform.ini |mIRC IRC ini file can list IRC usernames and
|other information
———————————————————
inurl:root.asp?acs=anon |Outlook Mail Web Access directory can be
|used to discover usernames
———————————————————
filetype:conf inurl:proftpd. |PROFTP FTP server configuration file
conf –sample |reveals
|username and server information
———————————————————
filetype:log username putty |PUTTY SSH client logs can reveal
|usernames
|and server information
———————————————————
filetype:rdp rdp |Remote Desktop Connection files reveal user
|credentials
———————————————————
intitle:index.of |UNIX bash shell history reveals commands
.bash_history |typed at a bash command prompt; usernames
|are often typed as argument strings
———————————————————
intitle:index.of |UNIX shell history reveals commands typed at
.sh_history |a shell command prompt; usernames are
|often typed as argument strings
———————————————————
“index of ” lck |Various lock files list the user currently using
|a file
———————————————————
+intext:webalizer +intext: |Webalizer Web statistics page lists Web user-
Total Usernames +intext: |names and statistical information
”Usage Statistics for”
———————————————————
filetype:reg reg HKEY_ |Windows Registry exports can reveal
CURRENT_USER |username usernames and other information
———————————————————

TABEL KATA-KATA KUNCI MENDAPATKAN PASSWORD

———————————————————
KATA KUNCI | KETERANGAN
———————————————————
inurl:/db/main.mdb |ASP-Nuke passwords
———————————————————
filetype:cfm “cfapplication |ColdFusion source with potential passwords
name” password
———————————————————
filetype:pass |dbman credentials
pass intext:userid
———————————————————
allinurl:auth_user_file.txt |DCForum user passwords
———————————————————
eggdrop filetype:user user |Eggdrop IRC user credentials
———————————————————
filetype:ini inurl:flashFXP.ini |FlashFXP FTP credentials
———————————————————
filetype:url +inurl:”ftp://” |FTP bookmarks cleartext passwords
+inurl:”@”
———————————————————
inurl:zebra.conf intext: |GNU Zebra passwords
password -sample -test
-tutorial –download
———————————————————
filetype:htpasswd htpasswd |HTTP htpasswd Web user credentials
———————————————————
intitle:”Index of” “.htpasswd” |HTTP htpasswd Web user credentials
“htgroup” -intitle:”dist”
-apache -htpasswd.c
———————————————————
intitle:”Index of” “.htpasswd” |HTTP htpasswd Web user credentials
htpasswd.bak
———————————————————
“http://*:*@www” bob:bob |HTTP passwords (bob is a sample username)
———————————————————
“sets mode: +k” |IRC channel keys (passwords)
———————————————————
“Your password is * |Remember IRC NickServ registration passwords
this for later use”
———————————————————
signin filetype:url |JavaScript authentication credentials
———————————————————
LeapFTP intitle:”index.of./” |LeapFTP client login credentials
sites.ini modified
———————————————————
inurl:lilo.conf filetype:conf |LILO passwords
password -tatercounter2000
-bootpwd –man
———————————————————
filetype:config config intext: |Microsoft .NET application credentials
appSettings “User ID”
———————————————————
filetype:pwd service |Microsoft FrontPage Service Web passwords
———————————————————
intitle:index.of |Microsoft FrontPage Web credentials
administrators.pwd
———————————————————
“# -FrontPage-” |Microsoft FrontPage Web passwords
inurl:service.pwd
ext:pwd inurl:_vti_pvt inurl: |Microsoft FrontPage Web passwords
(Service | authors | administrators)
———————————————————
inurl:perform filetype:ini |mIRC nickserv credentials
———————————————————
intitle:”index of” intext: |mySQL database credentials
connect.inc
———————————————————
intitle:”index of” intext: |mySQL database credentials
globals.inc
———————————————————
filetype:conf oekakibbs |Oekakibss user passwords
———————————————————
filetype:dat wand.dat |Opera‚ ÄúMagic Wand‚Äù Web credentials
———————————————————
inurl:ospfd.conf intext: |OSPF Daemon Passwords
password -sample -test
-tutorial –download
———————————————————
index.of passlist |Passlist user credentials
———————————————————
inurl:passlist.txt |passlist.txt file user credentials
———————————————————
filetype:dat “password.dat” |password.dat files
———————————————————
inurl:password.log filetype:log |password.log file reveals usernames,
|passwords,and hostnames
———————————————————
filetype:log inurl:”password.log” |password.log files cleartext
|passwords
———————————————————
inurl:people.lst filetype:lst |People.lst generic password file
———————————————————
intitle:index.of config.php |PHP Configuration File database
|credentials
———————————————————
inurl:config.php dbuname dbpass |PHP Configuration File database
|credentials
———————————————————
inurl:nuke filetype:sql |PHP-Nuke credentials
———————————————————
filetype:conf inurl:psybnc.conf |psyBNC IRC user credentials
“USER.PASS=”
———————————————————
filetype:ini ServUDaemon |servU FTP Daemon credentials
———————————————————
filetype:conf slapd.conf |slapd configuration files root password
———————————————————
inurl:”slapd.conf” intext: |slapd LDAP credentials
”credentials” -manpage
-”Manual Page” -man: -sample
———————————————————
inurl:”slapd.conf” intext: |slapd LDAP root password
”rootpw” -manpage
-”Manual Page” -man: -sample
———————————————————
filetype:sql “IDENTIFIED BY” –cvs |SQL passwords
———————————————————
filetype:sql password |SQL passwords
———————————————————
filetype:ini wcx_ftp |Total Commander FTP passwords
———————————————————
filetype:netrc password |UNIX .netrc user credentials
———————————————————
index.of.etc |UNIX /etc directories contain
|various credential files
———————————————————
intitle:”Index of..etc” passwd |UNIX /etc/passwd user credentials
———————————————————
intitle:index.of passwd |UNIX /etc/passwd user credentials
passwd.bak
———————————————————
intitle:”Index of” pwd.db |UNIX /etc/pwd.db credentials
———————————————————
intitle:Index.of etc shadow |UNIX /etc/shadow user credentials
———————————————————
intitle:index.of master.passwd |UNIX master.passwd user credentials
———————————————————
intitle:”Index of” spwd.db |UNIX spwd.db credentials
passwd -pam.conf
———————————————————
filetype:bak inurl:”htaccess| |UNIX various password file backups
passwd|shadow|htusers
———————————————————
filetype:inc dbconn |Various database credentials
———————————————————
filetype:inc intext:mysql_ |Various database credentials, server names
connect
———————————————————
filetype:properties inurl:db |Various database credentials, server names
intext:password
———————————————————
inurl:vtund.conf intext:pass –cvs |Virtual Tunnel Daemon passwords
———————————————————
inurl:”wvdial.conf” intext: |wdial dialup user credentials
”password”
———————————————————
filetype:mdb wwforum |Web Wiz Forums Web credentials
———————————————————
“AutoCreate=TRUE password=*” |Website Access Analyzer user passwords
———————————————————
filetype:pwl pwl |Windows Password List user credentials
———————————————————
filetype:reg reg +intext: |Windows Registry Keys containing user
”defaultusername” intext: |credentials
”defaultpassword”
———————————————————
filetype:reg reg +intext: |Windows Registry Keys containing user
”internet account manager” |credentials
———————————————————
“index of/” “ws_ftp.ini” |WS_FTP FTP credentials
“parent directory”
———————————————————
filetype:ini ws_ftp pwd |WS_FTP FTP user credentials
———————————————————
inurl:/wwwboard |wwwboard user credentials
———————————————————

mungkin temen2 ada yang ingin melihat password dari website jerman?
mungkin sebaiknya kita juga mengganti kata “password” dengan memakai bahasa jerman tentunya dibawah ini adalah tabel 5 negara beserta terjemahan password dalam bahasa masing2 negara.

—————————————————-----------
BAHASA |KATA-KATA| TRANSLATE
—————————————————–----------
German |password | Kennwort
Spanish |password | contraseña
French |password | mot de passe
Italian |password | parola d’accesso
Portuguese |password | senha
Dutch |password | Paswoord
—————————————————–----------

setelah temen2 banyak mendapatkan password, apa yang akan anda lakukan?jangan berbuat jahat yang pasti, lihat2 saja isinya atau anda terlalu baik dengan memberitahu admin. jangan lupa sediakan john the ripper dirumah, sapa tau password yang disimpan sudah dalam keadaan terenkripsi.

keterangan :
karena ketidak teraturan kata2 pada artikel ini, setelah tanda “|” berarti itu merupakan keterangan dari kata kunci. MOHON MAAF

Pengertian Zombie dan DDOS

Zombie, dalam sebuah serangan penolakan layanan secara terdistribusi adalah sistem-sistem yang telah disusupi oleh program DDoS Trojan untuk melancarkan serangan DDoS terhadap sebuah host di jaringan. Dengan menggunakan banyak komputer, maka kemungkinan sebuah host akan lumpuh semakin besar. Disebut juga sebagai Drone atau Slave.



Komputer zombie, umumnya host-host yang terkoneksi ke internet tapi tidak memiliki konfigurasi keamanan yang baik. Seorang penyerang dapat menembus sistem-sistem tersebut dengan menggunakan perangkat lunak yang disebut sebagai DDoS Trojan, Zombie agent atau DDoS Agent. Perangkat lunak tersebut diinstalasikan ke dalam sistem dalam kondisi “sleeping“, dan menunggu hingga penyerang memberikan aba-aba untuk melakukan penyerangan terhadap sebuah host.

Sejarahnya….

Trojan sering digunakan untuk meluncurkan Distributed Denial of Service (DDoS) serangan terhadap sistem bertarget, tetapi hanya apa yang merupakan serangan DDoS dan bagaimana mereka tampil?

Pada tingkat yang paling mendasar, yang Distributed Denial of Service (DDoS) serangan menguasai sistem target dengan data, seperti bahwa respon dari sistem target baik diperlambat atau dihentikan sama sekali. Dalam rangka untuk menciptakan jumlah lalu lintas yang diperlukan, jaringan komputer bot zombie atau yang paling sering digunakan.

Zombie atau botnets adalah komputer yang telah dikompromikan oleh penyerang, umumnya melalui penggunaan Trojans, memungkinkan sistem dikompromikan ini harus dikendalikan dari jauh. Kolektif, sistem ini dimanipulasi untuk menciptakan arus lalu lintas yang tinggi diperlukan untuk menciptakan sebuah serangan DDoS.

Penggunaan botnets ini sering dilelang dan diperdagangkan di antara penyerang, sehingga suatu sistem dapat dikompromikan berada di bawah kendali berbagai penjahat – masing-masing dengan tujuan yang berbeda dalam pikiran. Beberapa penyerang dapat menggunakan botnet sebagai spam-relay, yang lain untuk bertindak sebagai situs download kode berbahaya, sebagian untuk tuan rumah phising, dan lain-lain untuk serangan DDoS tersebut.

Beberapa teknik dapat digunakan untuk memfasilitasi Distributed Denial of Service serangan. Dua yang lebih umum adalah permintaan HTTP GET dan SYN Banjir. Salah satu contoh yang paling terkenal dari HTTP GET serangan itu dari cacing Mydoom, yang menargetkan situs SCO.com. Serangan GET bekerja sebagai namanya – itu mengirimkan permintaan halaman tertentu (biasanya situs) ke server target. Dalam kasus cacing Mydoom, 64 permintaan dikirim setiap detik dari setiap sistem yang terinfeksi. Dengan puluhan ribu komputer diperkirakan terinfeksi oleh Mydoom, serangan besar untuk segera terbukti SCO.com, mengetuk secara offline selama beberapa hari.

Banjir SYN pada dasarnya adalah jabat tangan dibatalkan. Komunikasi internet menggunakan three-way handshake. Para klien memulai memulai dengan SYN, server akan meresponnya dengan SYN-ACK, dan klien kemudian seharusnya merespon dengan ACK. Menggunakan alamat IP palsu, seorang penyerang mengirim SYN yang menghasilkan SYN-ACK yang dikirim ke non-meminta (dan sering non-existing) alamat. Server kemudian menunggu respons ACK tidak berhasil. Ketika jumlah besar ini dibatalkan paket SYN dikirim ke sasaran, sumber daya server server lelah dan mengalah untuk SYN Flood DDoS.

Beberapa jenis lain dari serangan DDoS dapat diluncurkan, termasuk Fragmen Attacks UDP, ICMP Banjir, dan Ping of Death. Untuk rincian lebih lanjut mengenai jenis-jenis serangan DDoS, kunjungi Manajemen Jaringan Lanjutan Lab (ANML) dan meninjau Distributed Denial of Service Attacks (DDoS) Resources.

Seputar Tentang Social Engineering

Social engineering adalah tindakan melakukan tindakan atau membocorkan informasi rahasia menjadi orang-orang Memanipulasi, bukan dengan melanggar dalam atau menggunakan teknis retak Teknik. Sementara mirip dengan trik kepercayaan atau penipuan sederhana, istilah ini biasanya tipu daya atau penipuan untuk tujuan BERLAKU informasi kepada penipuan, pengumpulan, atau mengakses sistem komputer, dalam kebanyakan kasus penyerang tidak pernah bertatap-muka dengan korban .

"Social engineering" sebagai tindakan manipulasi psikologis dipopulerkan oleh konsultan-hacker berubah-Kevin Mitnick. Istilah ini telah sebelumnya yang terkait dengan ilmu-ilmu sosial, tetapi penggunaannya telah tertangkap di kalangan profesional komputer.

Social Engineering Teknik dan istilah

Semua rekayasa sosial "Teknik didasarkan pada atribut tertentu manusia pengambilan keputusan yang dikenal sebagai bias kognitif. Ini bias, kadang-kadang disebut" bug dalam perangkat keras manusia, "dieksploitasi dalam Teknik Kombinasi berbagai untuk membuat, serangan, beberapa di antaranya terdaftar di sini:

Dalih
Dalih adalah tindakan menciptakan dan menggunakan skenario menciptakan (dalih) untuk melibatkan korban ditargetkan dengan cara yang meningkatkan kemungkinan bahwa korban akan, membocorkan informasi atau melakukan tindakan dalam keadaan biasa akan menjadi tidak mungkin. Hal ini lebih dari kebohongan sederhana seperti itu paling sering melibatkan beberapa penelitian sebelumnya atau setup dan penggunaan informasi sebelumnya untuk penyamaran (misalnya, tanggal lahir, Nomor Jaminan Sosial, jumlah tagihan terakhir) untuk membangun legitimasi dalam benak target.

Teknik ini dapat digunakan untuk trik bisnis mengungkapkan informasi pelanggan untuk memperoleh catatan telepon maupun oleh Penyidik swasta, catatan utilitas, catatan perbankan dan informasi lainnya langsung dari Perwakilan perusahaan jasa junior. Informasi tersebut kemudian dapat digunakan untuk menetapkan legitimasi bahkan lebih besar di bawah ketat pertanyaan dengan manajer, misalnya, untuk membuat perubahan account, mendapatkan Saldo spesifik, dll Dalih telah teknik penegakan hukum saat diamati, di bawah naungan yang, mungkin leverage ancaman petugas hukum adalah tersangka untuk dimintai keterangan dan melakukan pelanggaran diduga detai pemeriksaan dekat kendaraan atau tempat.

Dalih juga dapat digunakan untuk meniru rekan kerja, polisi, bank, Kantor Pajak, Penyidik atau asuransi - atau individu lain yang bisa dirasakan otoritas atau kanan-ke-tahu dalam pikiran korban yang ditargetkan. Jawaban untuk pertanyaan-pertanyaan yang mungkin disiapkan hanya harus pretexter diminta oleh korban. Dalam beberapa kasus, semua yang diperlukan adalah suara yang terdengar berwibawa, nada sungguh-sungguh, dan kemampuan untuk berpikir pada kaki seseorang.

pencurian Pengalih
Pengalihan pencurian, juga dikenal sebagai "Corner Game" atau "Round Game Corner", berasal di East End of London.

Singkatnya, pencurian pengalihan adalah "con" dilaksanakan oleh Pencuri Profesional, biasanya terhadap sebuah perusahaan transportasi atau kurir. Tujuannya adalah untuk membujuk Orang Bertanggung jawab untuk pengiriman yang sah, bahwa kiriman ini akan diminta tempat lain - ". di tikungan" maka,

Dengan memuat / konsinyasi diarahkan ulang, Pencuri untuk membujuk sopir untuk membongkar pengiriman tersebut dekat, atau jauh dari, alamat penerima, dalam berpura-pura bahwa itu adalah "akan langsung keluar" atau "sangat dibutuhkan di tempat lain."

The "con" atau penipuan memiliki sisi yang berbeda, yang meliputi rekayasa sosial untuk membujuk Teknik lalu lintas yang sah atau pegawai administrasi sebuah perusahaan transportasi untuk mengeluarkan instruksi kepada sopir atau kurir untuk mengarahkan atau beban kiriman.

Variasi lainnya adalah penempatan sebuah van keamanan di luar pengalihan pencurian bank pada malam Jumat. penjaga berpakaian rapi menggunakan baris "keluar aman Night's order, Sir." Dengan metode ini penjaga toko dll. yang tertipu dalam pengambilalihan deposito mereka ke dalam van. Tapi tentu saja mereka mendapatkan tanda terima kemudian ini ternyata menjadi tidak berharga. Sebuah teknik yang sama digunakan beberapa tahun yang lalu untuk mencuri sebuah piano grand Steinway dari sebuah studio radio di London, "Datanglah ke merombak guv piano" telah diposting ke kalimat obrolan. Saat ini meminta ID tapi bahkan yang mungkin akan bisa dipalsukan.

Rekayasa sosial "Pencuri Dari Ketrampilan ini terlatih baik, dan sangat efektif. Sebagian besar perusahaan mempersiapkan staf mereka untuk jenis penipuan tidak melakukannya.

Phishing
Phishing adalah teknik menipu mendapatkan informasi pribadi. Biasanya, phisher akan mengirimkan e-mail yang tampaknya berasal dari sebuah bisnis yang sah untuk - bank, atau perusahaan kartu kredit - meminta "verifikasi" informasi dan memberikan peringatan dari beberapa konsekuensi mengerikan jika berteriak. E-mail biasanya berisi link ke sebuah halaman web palsu yang tampaknya sah - dengan logo perusahaan dan konten - dan memiliki bentuk meminta segala sesuatu dari alamat rumah untuk PIN kartu ATM.

Sebagai contoh, 2003 melihat Proliferasi phishing scam di mana pengguna menerima e-Mails diduga dari eBay, Mengklaim bahwa akun pengguna akan segera ditangguhkan kecuali link yang disediakan diklik untuk memperbarui kartu kredit (informasi bahwa eBay asli sudah ). Karena relatif sederhana untuk membuat situs Web menyerupai situs organisasi yang sah itu dengan Peniruan kode HTML, scam dihitung pada orang-orang yang tertipu untuk berpikir bahwa mereka sedang dihubungi oleh eBay, dan selanjutnya, kita akan ke situs eBay untuk memperbarui informasi rekening mereka. Dengan spamming kelompok besar orang, "phisher" dihitung dengan e-mail yang dibaca oleh persentase orang yang sudah terdaftar nomor kartu kredit dengan eBay sah, yang dapat memberi tanggapan.
IVR atau telepon phishing

Phising
Teknik ini menggunakan suara respon nakal Interaktif (IVR) untuk menciptakan salinan yang sah yang terdengar dari sistem IVR bank atau Lembaga lainnya. Korban diminta (biasanya melalui e-mail phising) untuk panggilan dalam ke "bank" melalui nomor (idealnya bebas pulsa) yang disediakan untuk "memverifikasi" informasi. Sebuah sistem yang khas terus akan menolak log-in, memastikan korban memasuki PIN atau password beberapa kali, sering mengungkapkan Beberapa password yang berbeda. Lebih sistem canggih mentransfer korban untuk penyerang, menyamar sebagai agen layanan pelanggan untuk interogasi lebih lanjut.

Satu tidak bisa merekam perintah khas ("Tekan satu untuk mengubah sandi Anda, tekan dua untuk berbicara dengan layanan pelanggan" ...) dan memutar arah secara manual secara real time, memberikan penampilan menjadi seorang IVR tanpa biaya.

Telepon phishing juga disebut vishing.

umpan
Memancing adalah seperti dunia nyata Trojan Horse yang menggunakan media fisik dan mengandalkan rasa ingin tahu atau keserakahan korban.

Dalam serangan ini, penyerang daun disk malware disket terinfeksi, CD-ROM, atau USB flash drive di lokasi yang pasti akan ditemukan (kamar mandi, lift, trotoar, parkir), memberikan label rasa ingin tahu-piquing sah mencari dan, dan hanya menunggu korban untuk menggunakan perangkat.

Sebagai contoh, seorang penyerang dapat membuat disk yang menampilkan logo perusahaan, tersedia dari situs web target, dan menulis "Gaji Ringkasan Eksekutif Q2 2010" di bagian depan. Penyerang kemudian akan meninggalkan disk di lantai sebuah lift atau di suatu tempat di lobi perusahaan yang ditargetkan. Unknowing Seorang karyawan mungkin menemukannya dan kemudian memasukkan disk ke dalam komputer untuk memuaskan keingintahuan mereka, atau dgn baik mungkin menemukannya dan mengubahnya ke perusahaan.

Dalam kedua kasus sebagai akibat dari hanya memasukkan disk ke dalam komputer untuk melihat isinya, pengguna tidak sadar akan menginstal malware di atasnya, kemungkinan memberikan akses tak terbatas penyerang ke PC korban dan mungkin, jaringan komputer internal perusahaan bertarget.

Kecuali kontrol komputer blok infeksi, PC set ke "auto-run" media dimasukkan dapat dikompromikan begitu jahat disk dimasukkan.

Quid pro quo berarti sesuatu untuk sesuatu:

* Penyerang panggilan nomor acak pada sebuah perusahaan Mengaku memanggil kembali dari dukungan teknis. Akhirnya mereka akan memukul seseorang dengan masalah yang sah, bersyukur bahwa seseorang menelpon kembali untuk membantu mereka. penyerang akan "membantu" memecahkan masalah dan dalam proses tersebut memiliki perintah tipe user yang memberikan akses penyerang atau malware peluncuran.

* Dalam sebuah survei keamanan 2003 informasi, 90% pekerja kantor memberikan peneliti yang mereka klaim password mereka untuk menjawab pertanyaan survei dalam pertukaran untuk sebuah pena murah survei serupa di tahun kemudian hasil yang diperoleh. Menggunakan cokelat sama dan lainnya murah umpan, meskipun mereka tidak berusaha memvalidasi password.

[Edit] Jenis lainnya

Dianggap penipu kepercayaan umum atau penipu juga bisa "insinyur sosial" dalam arti lebih luas, dalam arti bahwa mereka sengaja menipu dan memanipulasi orang, Memanfaatkan kelemahan manusia untuk mendapatkan keuntungan pribadi. Mereka mungkin, misalnya, menggunakan rekayasa sosial sebagai bagian dari penipuan TI Teknik.

Suatu jenis yang sangat baru-baru ini Teknik rekayasa sosial termasuk spoofing atau hacking dari ID e-mail populer orang yang memiliki ID seperti Yahoo, GMail, Hotmail, dll Di antara banyak Motivasi penipuan adalah: