jueves, 5 de junio de 2014

Disfrazándonos de Google

Ojala fuera el tipo de la izquierda con cara de feliz, más que por la “G” que lleva impresa en el pecho, por las dos razones que le acompañan a él y a su amigo, simulando ser gOOgle.

 

Esta imagen y el tema que voy a redactar hoy van muy unidos, en resumen puedo entrar a donde quiera si voy de Google. En la discoteca no me tirarán por mis cortes de pelo o zapatillas porque... ¡cojones! ¡Mira con quien voy a entrar portero! ¡Pero que te estoy hablando! ¿donde miras?, aunque en realidad después de ir disfrazado de Supernena rosa junto a dos amigos a la sala Pacha de Madrid y tirarnos al quitarnos la careta, claro que seguro esperaban otra cosa y vieron tres cara de capullos roba-bolsos, pues ya nada me sorprende ¡comprame una cara para navidad mama!

Pues eso, como andaba aburrido del traje de pastorcillo de todos los años que ya me queda pequeño, tiré a disfrazarme de Google, que al menos para poder entrar a sitios protegidos por contraseña me vale, y es que llevar el traje del robot de GoogleBot, es lo más similar en la vida real a tener una tarjeta de acceso Vip.

Me topé por el camino con un foro de Hacking bastante conocido y ya saben que no me gusta registrarme para entrar a los sitios, con lo que justo me apareció una petición de login para acceder a los contenidos.



Será vagancia pues no sé exactamente, fui corriendo a Bugmenot para encontrar algún usuario compartiendo sus registros de buen royo.



¡Vaya! Me chafaron la idea, la administración se preocupa en que nadie acceda sin registrarse, pero... ¿por qué Google indexa los contenidos que hay dentro? Pues entremos en algún post para ver la caché de la página.



 

¡Esto sí que está chulo! Así que podemos verlo a través de la caché, lástima que no funcionen las variables de navegación para cambiar de páginas “&page=N”, hay que liarla parda e intentar acceder directamente a la web como lo hace Google.

En la próxima entrada se explicará como lograr acceder completamente a los post sin registro y como puede llegar a afectar este descuido en webs de pago u otros casos similares donde se permita el acceso a las arañas de los buscadores.

Que diferencia a los buscadores de nosotros?

Los buscadores no utilizan por lo general, ni ejecución de código Javascript ni Cookies de sesión, así que una de las posibles diferencias que un servidor pueda comprobar en algún caso son estas, ¿Qué hacemos? Pues utilizar plugins como No Script de Firefox y deshabilitar las Cookies de la configuración del navegador.
 
Desactivar la detección de Referers, también puede ser crucial para que no nos identifiquen como si fuésemos usuario, así que ¿como no? Firefox de nuevo nos habilita una extensión llamada RefControl Extension.

Utilizaremos ahora sí, la IP del propio Google como servidor Proxy, del que hace unos cuantos años hice un pequeño y simple software llamado “Proxy v3 By 4n0nym0us”, con el que se utilizaban encadenamientos de IP entre traductores de contenidos web como el caso de Google o Yahoo, es el denominado IP Delivery.

Y para mí, la herramienta estrella en conseguir un User-Agent Cloaking, la extensión User-Agent Switcher con la que podremos modificar como su nombre indica, el User-Agent enviado a la página. Gracias a esta herramienta, no solo podremos adoptar el nombre de Googlebot, si no también entrar a páginas simulando ser un dispositivo Iphone, Blackberry... consiguiendo acceder en la URL a otro dominio menos utilizado y saltarse algunos de los filtros parentales maluchos que vemos en algunos sitios, ya la picardía depende de vuestra cabecita loca.
Bueno sin más rodeos intentemos entrar a la susodicha web de Hacking, con la que después de unas pruebas rápidas la combinación de IP Delivery y User-Agent Cloaking, me conseguí quitar de encima el disfraz de pastorcillo y hacer creer a la web que soy gOOgle.

La instalación de la extensión requiere el reinicio del navegador, así que una vez abierto de nuevo, nos dirigiremos a la pestaña herramientas y escogeremos nuestro ansiado Robot.




Ya que Google se indexa a sí mismo, no le extrañará ver a una de sus supuestas arañas entrando a su traductor, este también se guarda en caché.


Así que accederemos a su traductor e ingresaremos uno de los post que queramos ver.





Aunque el foro está en inglés, mejor dejémoslo en su idioma real, pues las traducciones como ya saben no son perfectas ni mucho menos, así que volveremos a engañar a Google diciéndole que la web está en español. Cuando encuentre una palabra que no pueda traducir al inglés, la dejará en el supuesto español y no se tocará. Apretaremos el botón de Traducir.




Ya estamos dentro sin utilizar usuario y contraseña, ya que el traductor permite ejecutar el php enviando la variable de cambio de página y sin salir del mismo como pasaba con la caché, pinchemos en otra página a ver que pasa.





Vaya parece que estamos navegando sin ningún tipo de problema, pues nada a leer información que parece muy interesante.

Así que espero no encontrarme más pastorcillos, ovejitas, estrellas fugazes y de cantar villancicos a lo viva la Pepa, péguenle fuerte al ron, cójanse una buena fiesta y repartan mucho amor ¿En que estamos pensando?

Saludos 4n4les!

Fuente: http://www.enelpc.com/2010/12/disfrazandonos-de-google-parte-2.html

No hay comentarios:

Publicar un comentario