이 글에서는 타이틀에 특정 키워드를 포함한 사이트만을 검색하는 구글 해킹 (Google Hacking)의 intitle 필터와 Criminal IP의 title 필터의 검색결과와 검색 방법을 비교하며 설명한다.

구글 해킹 이란?

구글 해킹 (Google Hacking) 은 웹사이트의 구성과 컴퓨터 코드에 보안 취약점을 찾기 위해 구글 검색과 구글의 응용 프로그램을 사용하는 해킹 기술을 의미한다. 구글 해킹을 통해 수집할 수 있는 정보는 실로 놀라울 정도로 다양하며, 일반적으로 따옴표(“ ”)를 사용한 키워드 검색, filetype, site, inurl, intitle 등의 필터를 활용해 특정 조건으로 결과를 좁혀 검색하는 방법이 있다.

웹 기반으로 데이터를 수집하는 구글에 비해 Criminal IP (https://www.criminalip.io/) 는 IP와 포트를 기반으로 데이터를 수집하지만, 수집된 정보가 웹 포트인 경우 구글과 유사한 결과 또는 구글에서도 보이지 않는 결과가 도출되기도 한다. 특히 Google Hacking 에서 유용하게 사용되는 intitle: 필터는 웹 사이트의 <title> 태그의 내용을 검색해주는 것인데, Criminal IP에서 이와 동일한 역할을 하는 것이 title: 필터이다.  Google Hacking 에서 알려진 몇 가지 타이틀 검색 팁을 Criminal IP 와 비교하여 함께 소개해 보겠다.

dead.letter 를 통한 디렉토리 리스팅 취약점 찾기

intitle:index.of “dead.letter”

구글 해킹 intitle:index.of "dead.letter" 검색결과

구글의 intitle:index.of “dead.letter” 검색결과

dead.letter 파일은 리눅스/유닉스 환경에서 특정 오류가 발생했을 때 자동으로 생성되는 파일로, 오류 로그 내용이 들어있다. index.of 는 디렉토리 리스팅 취약점이 있는 웹사이트를 방문하면 볼 수 있는 문자열로, 해당 검색결과에 접속해 보면 아래와 같이 서버의 파일들에 접근할 수 있는 취약한 서버 주소를 획득할 수 있다. 이처럼 서버의 취약점을 찾는데도 구글 해킹이 이용된다.

서버 파일에 접근 가능한 취약한 서버주소를 확인할 수 있는 index.of 파일. 디렉토리 리스팅 취약점이 있는 웹사이트를 방문하면 볼 수 있는 문자열이다.

서버 파일에 접근 가능한 취약한 서버주소를 확인할 수 있는 index.of 파일. 디렉토리 리스팅 취약점이 있는 웹사이트를 방문하면 볼 수 있는 문자열이다.

<!DOCTYPE HTML PUBLIC “-//W3C//DTD HTML 3.2 Final//EN”>
<html>
<head>
  <title>Index of /</title>
</head>
<body>
<h1>Index of /</h1>

같은 내용을 Criminal IP에서 검색하려면 title: 필터를 이용한 아래와 같은 쿼리를 사용하면 된다.

“dead.letter” title:index.of

Criminal IP Asset Search 에서 "dead.letter" title:index.of 를 검색한 결과

Criminal IP Asset Search 에서 “dead.letter” title:index.of 를 검색한 결과

Criminal IP에서는 구글이 크롤링하지 못한 색다른 데이터를 찾아볼 수 있다. 그리고 국가별 데이터나 CVE 취약점 유무, apache 등의 웹서버 종류까지도 파악할 수 있다는 점이 Criminal IP의 차별점이다.

웹 형태로 제공되는 원격 데스크톱 서버 찾기

intitle:”Remote Desktop Web Connection” inurl:tsweb

구글 해킹 intitle:"Remote Desktop Web Connection" inurl:tsweb 검색결과

구글의 intitle:”Remote Desktop Web Connection” inurl:tsweb 검색결과

MS에서는 RDP 서버를 웹으로도 제공한다. 즉, 이 구글 해킹 쿼리는 외부에 노출된 RDP 서버를 찾은 것과 같은 케이스로 볼 수 있다.

웹 형태로 제공하는 MS RDP 서버. 구글 검색결과에 노출되고 있다

웹 형태로 제공하는 MS RDP 서버. 구글 검색결과에 노출되고 있다

같은 쿼리를 Criminal IP 를 통해 찾으려면 역시 title: 필터를 사용하면 된다.

title:”Remote Desktop Web Connection”

Criminal IP Asset Search 에서 title:"Remote Desktop Web Connection" 를 검색한 결과

Criminal IP Asset Search 에서 title:”Remote Desktop Web Connection” 를 검색한 결과

참고로 관련된 내용으로, Criminal IP 의 Image Search 에서는 RDP 스크린샷을 함께 제공하고 있다

Criminal IP Image Search 에서 검색된 RDP 스크린샷 결과

Criminal IP Image Search 에서 검색된 RDP 스크린샷 결과

디폴트 상태의 아파치 테스트 페이지 탐지

intitle:”Test Page for Apache

구글 해킹 intitle:"Test Page for Apache" 검색결과

구글의 intitle:”Test Page for Apache” 검색결과

아래의 스크린샷은 아파치 서버를 설치한 직후 보이는 시작 페이지이다. 이것 역시 구글 해킹으로 찾을 수 있는 유명한 내용 중 하나이다.

구글 해킹 intitle:"Test Page for Apache" 검색결과에 노출된 아파치 서버 시작 페이지

구글의 intitle:”Test Page for Apache” 검색결과에 노출된 아파치 서버 시작 페이지

같은 내용을 Criminal IP 에서 검색하기 위해서는 아래와 같은 쿼리를 사용하면 된다.

title:”Test Page for Apache installation” 

Criminal IP Asset Search 에서 title:"Test Page for Apache installation" 를 검색한 결과

Criminal IP Asset Search 에서 title:”Test Page for Apache installation” 를 검색한 결과

실제로 위와 같은 웹서버의 디폴트 페이지의 경우, 구글보다 Criminal IP가 더욱 많은 검색 결과를 보여주고 있다는 것을 알 수 있다. 이것은 IT시스템을 세팅하는 특성에 기인한 탓인데, 이처럼 디폴트 상태로 두거나 설치 중인 시스템에 대해서는 도메인을 입히지 않은 경우도 많기 때문이다. 따라서 도메인을 더욱 중심적으로 크롤링하는 구글에 비해, 전 세계 IP 를 계속 수집하는 Criminal IP가 디폴트 페이지에 대해서는 더욱 더 자세한 검색 결과를 제공할 수 있다.

참고로 디폴트 페이지의 위험성에 대해서는 디폴트 페이지 노출: 디폴트 페이지에서 발생하는 보안 위협에서 다룬 바 있다.

그 외에도 Google 의 intitle: 필터를 이용한 많은 Google Hacking이 존재한다. 어플리케이션의 특성에 따라서 Google 에서 더욱 많이 검색 결과가 도출될 때가 있고, Criminal IP에서 더욱 많이 등장할 때도 있다. Google Hacking 이라는 서적까지 등장할 정도로 구글 역시 위협정보를 수집하는데 큰 무기가 되어 왔는데, Criminal IP의 검색 결과를 함께 사용한다면 더욱 효율적인 위협 인텔리전스를 수집할 수 있을 것이다.


데이터 출처: Criminal IP (https://www.criminalip.io)

관련 글:

https://www.criminalip.io/asset/search?query=%22dead.letter%22%20title:index.of