Seni Internet, Googling
Penulis : kahartospisan
Jasakom - Terinspirasi dengan istilah Kang S’to, Seni Internet ‘Hacking’, saya coba membuat tulisan dengan judul yang mirip (dimiripkan) yang akan membahas tentang penggunaan ‘google - googling’
Tidak tahu apakah penggunaan google ini sudah bisa disebut seni atau bukan dan mudah mudahan juga istilah seni internet tidak dipatenkan sehingga saya tidak disebut plagiat dan harus membayar fee Smiley. Tulisan ini dibuat untuk berbagi pengalaman mudah-mudahan bermanfaat dan semoga juga tidak membosankan serta tidak mengesalkan.
Satu keumuman yang dapat dicermati ketika kita membaca tulisan-tulisan yang ditampilkan di Jasakom (mungkin juga di situs-situs lain yang berkaitan dengan tema-tema h4x0r) adalah penulisnya menggunakan google sebagai mesin pencarinya. Banyak ungkapan menarik yang dituliskan untuk menunjukkan kedekatan para penulis ini dengan google. Di bawah ini diberikan contoh beberapa ungkapan tersebut yang diambil dari tulisan di Jasakom.
“ ... Paman Google ( Search Engine Favorit ku ) “
“... apa itu VBS? baca google yah ...”
“ ... oke langsung saja buka
www.google.com cari aja yang ada hubungannya dengan php nuke ...”
“...mari cari target buka
http://www.google.co.il/ ...”
“ ... Buka browser anda ke alamat:
www.google.com lalu ketikkan keyword ...”
“... banyak banget ya target yang tampil di jendela si google...”
“...nah seperti biasa....GOOGLING!!! hehehe ...”
Dari ungkapan-ungkapan tersebut mungkin akan timbul pertanyaan ... memangnya Ada Apa dengan Google ? ... Loh kok enggak pake mesin pencari lain yah ?. .. Apa sih keunggulan yang diberikan oleh google? ..... Untuk menjawab pertanyaan-pertanyaan tersebut salah satu diantaranya adalah dengan menunjukkan bagaimana relevansi antara apa yang kita ingin cari dengan apa yang dihasilkan oleh suatu mesin pencari. Terdapat beberapa penelitian yang telah dilakukan orang yang mencoba membandingkan hasil pencarian yang dilakukan google dengan mesin pencari lain. Salah satunya adalah penelitian yang dilakukan oleh Salokhe et al (2003, FAO-UN, Food and Agriculture Organizaion – United Nation) yang mencoba membandingkan kinerja google dan _meta_crawler dalam melakukan pencarian untuk data_base_ AGRIS yang dimiliki FAO. Hasil penelitan tersebut menunjukkan bawah google memberikan kualitas pencarian yang lebih baik dibanding _meta_crawler (he..he.. jadi serius nih).
Selain memang kualitas hasil pencarian google yang baik, pilihan rekan-rekan untuk menggunakan google sebagai mesin pencari memang tidah salah. Coba lah pilihan interface h4x0r yang disediakan google di
http://www.google.com/intl/xx-hacker/ , seolah olah dengan menggunakan google kita sudah merasa jadi hacker ( Smiley, lol, walaupun hanya tulisannya). Dan untuk lebih meyakinkan lagi bahwa menggunakan google sebagai mesin pencari kita memang pilihan yang tepat coba juga lihat disalah satu pertanyaan dan jawaban dalam FAQ yang disediakan google sendiri seperti tertera di bawah ini:
----------------------------------------------------------------------------------------------------------
“Mengapa Googlebot mendownload informasi dari web server "rahasia" saya?
Hampir-hampir mustahil untuk menjaga merahasiakan sebuah web server dengan cara tidak mempublikasikan _link_ apapun ke halaman itu. Begitu ada orang yang mengikuti sebuah _link_ dari server "rahasia" Anda ke web server lain, tampaknya URL "rahasia" Anda ada pada tag referalnya, dan bisa disimpan dan mungkin diterbitkan oleh web server yang lain dalam log referalnya. Jadi, jika ada _link_ ke web server atau halaman "rahasia" Anda di manapun di web, tampaknya Googlebot dan "penjaring web" lain akan menemukannya.
---------------------------------------------------------------------------------------------------------------
Apa yang bisa dilakukan dengan google ?
Target utama kita menggunakan mesin pencari adalah mendapatkan informasi tertentu sesuai dengan tujuan kita. Nah, informasi-informasi apa saja yang bisa kita dapatkan dengan google adalah bentuk informasi berikut (selain pencarian informasi umum misalnya tutorial, white paper dll):
- Menemukan target web yang dapat dieksploitasi dimana:
- Target tersebut menjalankan sistem informasi tertentu
- Target tersebut menjalankan software web server tertentu
- Target tersebut memiliki kelemahan/hole (vunerabilities) tertentu
- Target tersebut memiliki data sensitif di dalam direktori publik
- Target tersebut memiliki data sensitif di dalam file publik
Selain hal di atas kita juga bisa memanfaatkan google misalnya sebagai server proxy (bagaimana caranya akan dibahas di bagian selanjutnya, walaupun tidak sebagai anonymous proxy), menghasilkan hal-hal yang lucu dari hasil pencariannya, dan banyak lagi hal lainnya dengan memanfaatkan fitur-fitur yang sediakan oleh google (Cobalah situs berikut
http://douweosinga.com/projects/googlehacks yang memanfaatkan fitur Web API google untuk membuat kalimat otomatis, membuat kalimat dalam gambar dan lain sebagainya).
Syntax dan Fitur-fitur yang disediakan google
Untuk mendapatkan apa yang bisa dilakukan dengan google ada baiknya kita mengenali syntax yang disediakan oleh google untuk membantu melakukan pencarian. Secara default google mengunakan operand AND apabila kita melakukan pencarian dengan lebih dari satu kata. Untuk pencarian dalam bentuk frasa maka kita harus menggunakan tanda kutip yang melingkupi kata kunci yang kita masukkan. Sedangkan untuk memaksa google agar tetap memasukkan kata-kata umum (misal how, of, for, dll) dalam sistem pencariannya maka kita harus menggunakan tanda plus (+) di depan kata yang umum tersebut. Syntax-syntax ini digunakan secara langsung dalam kolom pencarian dan penggunaannya dapat dikombinasikan. Adapun syntax-syntax lain yang sangat membantu pula dalam pencarian adalah sebagai berikut:
Field
Tujuan Penggunaan
in_title_:
Menemukan halaman-halaman web yang di dalam _title_ HTML-nya mengandung katakunci (keyword) yang kita masukkan. Contoh in_title_
earch berarti akan menemukan halaman yang didalam _title_ HTML-nya mengandung kata ‘search’
inurl:
Menemukan URL (host, nama path, nama file)yang memiliki kata kunci yang kita masukkan.
filetype:
Menemukan tipe file tertentu
site:
Menemukan halaman pada situs tertentu
_link_:
menemukan halaman yang memiliki hiperteks _link_ ke URL tertentu
Dan beberapa syntax lain bisa lihat di
http://www.googleguide.com/advanced_operators.htmlTerdapat banyak fitur disediakan oleh google untuk lebih membantu kita sebagai pengguna dalam mendapatkan informasi yang diinginkan. Dari halaman depan google, kita bisa melakukan pencarian gambar melalui pilihan ‘images’, melakukan pencarian arsip dikusi di USENET melalui pilihan ‘groups’, ataupun melakukan pencarian berdasar topik tertentu melalui pilihan ‘directory’. Fitur lainnya akan tampak apabila kita klik menu ‘more’ dalam tampilan awal google. Fitur-fitur tersebut diantaranya fitur translate tool, fitur Web API dan lain sebagainya.
Dimana letak seninya googling ?
Seni dari googling terletak pada kreativitas kita dalam mengolah/memanfaatkan kata kunci dan fitur yang disediakan google sehingga dapat menghasilkan hal/informasi yang umum ataupun tidak umum. Agar lebih jelas bagaimana kita melakukannya, bagian selanjutnya dari tulisan ini akan memberikan contoh dari penggunaan fitur dan kata kunci tersebut.
Google sebagai proxy. Kita dapat menjadikan google sebagai proxy server dengan memanfaatkan fasilitas translate. Walaupun google proxy ini tidak bersifat anonymous, tetapi siapa tahu dengan menggunakan proxy google akses menjadi agak lebih cepat terhadap suatu site (karena sifat connectionless oriented dari protocol IP) atau cukup bisa mengelabui admin yang kurang teliti. Untuk melakukan hal di atas kita bisa memilih menu more dalam google atau menggunakan url berikut
http://www.google.com/language_tools?hl=en . Untuk situs yang berbahasa indonesia, tinggal kita masukkan saja url-nya pada bagian translate web atau masukkan dalam url berikut
http://translate.google.com/translate?u=http://www.situstarget.com&langpair=id|id . Untuk situs-situs yang berbahasa inggris, tinggal ganti id|id menjadi en|en (sebenarnya untuk situs yang berbahasa Indonesia bagian ujung dari url bebas tidak harus id|id).
Mecari target untuk suatu eksploit yang ditemukan. Contoh-contoh untuk kemampuan google yang satu ini sudah banyak diketengahkan di situs jasakom. Biasanya syntax yang dipakai adalah “inurl:” plus yang lainnya . Misal kita menemukan bahwa VP-ASP (Virtual Programming - ASP) sebagai salah satu shooping cart yang dikenal di Eropa dan US untuk membuat toko online memiliki kelemahan pada _script_ halaman adminnya. Kelemahan tersebut adalah _script_ adminstrasinya bisa di XSS dan di Injeksi SQL (http://securitytracker.com/alerts/2002/May/1004384.html). Dengan melakukan XSS atau SQL injection terhadap _script_ ini dapat memperlihatkan detail data credit card dari pelanggan. Adapun _script_ administrasinya ada di file shopadmin.asp. Lalu, bagaimana mencari target yang memiliki kelemahan ini, caranya adalah dengan menggunakan keyword berikut pada google -- inurl
hopadmin.asp “shop adminstrators only” ---
http://www.google.com/search?hl=en&lr=&ie=UTF-8&&q=inurl%3A%22shopadmin.asp%22+%22Shop+Administrators+only%22 .
Menemukan password. Sesuatu yang harusnya tidak untuk diketahui untuk umum, semacam password dan lainnya, karena adanya sedikit kesalahan dalam setting atau lainnya, atau juga karena adanya keinginan orang untuk berbagi, memberikan kesempatan pada google untuk menemukan hal seperti ini. Contoh untuk pencarian password dengan google misalnya dengan mencari file password yang memiliki nama password juga dengan tipe file mungkin txt juga mungkin dat. Kita ambil contoh keyword --- filetype:dat “password.dat” --
http://www.google.com/search?hl=en&lr=&ie=UTF-8&q=filetype%3Adat+%22password.dat%22 . (jika ditemukan password yang dienkripsi, silahkan deskripsi dengan JTR atau program yang lainnya. Lebih mudah untuk melihat hasil pencarian dengan mengikut _link_ “cached” dari google). Keyword lain yang dapat digunakan -- filetype:bak inurl:"htaccess|passwd|shadow|htusers" -- , --- "# -FrontPage-" inurl
ervice.pwd --
Melihat direktori tertentu dari suatu site. Suatu site yang tidak terkonfigurasi dengan baik akan memungkinkan google dapat menampilkan struktur file yang mungkin cukup sensitif. Keyword untuk tujuan ini biasanya menggunakan frasa “index of”. Contoh keywordnya adalah -- in_title_:"index.of.secure" -- in_title_:"index.of.secure" – in_title_:’index of cgi-bin” --- .
Mencari kelemahan suatu server dari hasil kerja orang lain. Untuk menemukan informasi kondisi suatu server, kadang-kadang kita tidak perlu melakukan sendiri scanning terhadap server tersebut. Kita bisa mecari bagaimana profil suatu server menggunakan google berdasarkan laporan dari pihak lain yant telah melakukan assesment untuk suatu serve. Bisa dicoba sontohnya dengan keyword berikut -- filetype
df "Assessment Report" nessus –
Penutup
Apa yang diketengahkan di atas hanya sebagian kecil dari kreativitas mengolah keyword untuk google. Masih banyak lagi yang belum dinyatakan dalam tulisan ini yang mungkin rekan-rekan telah ketahui sebelumnya atau mungkin rekan-rekan sendiri yang punya ide baru dalam mengolah keyword untuk google. Dan yang pasti, koleksi terbanyak ada di net sana (coba – filetype:txt inurl:googletut1 -- )
Acknowledgement
Keyword-keyword di atas dikenal dengan istilah “googledork” yang dicetuskan oleh j0hnny dari ihackstuff. Thanks to j0hnny. Rujukan utama tulisan ini adalah tulisan dari j0hnny. Terima kasih pula untuk rekan-rekan yang ungkapannya untuk google saya kutip untuk tulisan ini serta kepada penulis lain yang papernya digunakan dalam menyusun tulisan ini. Tidak lupa pada jasakom yang menyediakan _script_ uji coba dan mau menampilkan paper ini.
kahartospisan [at] gmail.com
Forum 
Favoured: 0
