Статья Google Dorks для разведки внешней поверхности атаки: от пассивного recon к pre-exploitation

Руки в перчатках держат вскрытый сетевой модуль под лупой. Рядом лежит распечатка поискового запроса с параметрами фильтрации файлов и диагностический экран с зелёным текстом об обходе авторизации.


На внешнем пентесте финтех-компании первая критическая находка заняла 11 минут. Не Nmap, не Burp - запрос site:target.com filetype:env "DB_PASSWORD" вернул файл с credentials от продакшн-базы. Хост dev-payments.target.com не фигурировал в скоупе, потому что заказчик о нём забыл. По данным IBM X-Force Threat Intelligence Index 2025, каждый день в даркнете всплывает порядка 6000 свежих учёток - и значительная часть из них не результат сложных атак, а банальная индексация конфигов поисковиками. Google Dorking - первый инструмент в руках пентестера и одновременно самый недооценённый: google dorks для разведки позволяют собрать карту внешней поверхности атаки до того, как один пакет коснётся инфраструктуры цели.

Место Google Dorking в kill chain: MITRE ATT&CK и операционный контекст​

1783315453204.webp

[Применимо: внешний пентест, black box / grey box] Подробнее - в нашем руководстве по asset management пентест.

В терминологии MITRE ATT&CK Google Dorking - техника T1593.002 (Search Engines, Reconnaissance). Каждый запрос уходит на серверы Google, а не на целевой хост: в access-логах жертвы ноль записей. Это и делает дорки безопасным стартом для пассивной разведки внешней поверхности атаки перед переходом к активному сканированию.

В цепочке внешнего пентеста google dorking занимает конкретную позицию:
  1. Google Dorks + OSINT (passive recon) - определение границ атакуемой поверхности, обнаружение забытых активов
  2. Shodan / Censys / crt.sh - подтверждение live-хостов, открытых портов, Certificate Transparency
  3. Active scanning (Nmap, httpx) - fingerprinting сервисов на подтверждённых хостах
  4. Vulnerability validation (nuclei, manual testing) - pre-exploitation
  5. Exploitation - initial access
Дорки покрывают сразу несколько суб-техник Reconnaissance по ATT&CK: Domain Properties (T1590.001) - обнаружение поддоменов и аффилированных доменов; IP Addresses (T1590.005) - через error pages с выводом внутренних IP; Software (T1592.002) - technology fingerprinting через проиндексированные заголовки, phpinfo() и version strings; Scan Databases (T1596.005) - когда ищем готовые дорки в Google Hacking Database. Отдельная категория - находки credential exposure, которые маппятся на тактику Credential Access (T1552.001, Credentials In Files).

Когда пишешь отчёт, каждая находка привязывается к ATT&CK-технике. Дорки - не "погуглил и нашёл", а задокументированный reconnaissance с конкретным TTP-маппингом.

Пять семейств операторов для external attack surface mapping​

1783315477625.webp

Русскоязычные гайды перечисляют GHDB-операторы поиска списком: site:, filetype:, inurl:. Это справочник, а не методология. На практике google dorks OSINT-аналитики группируют операторы по задачам - каждое семейство отвечает на конкретный вопрос при external attack surface mapping.

Scoping - определение границ разведки​

Первый шаг - понять, что вообще проиндексировано у цели. Запрос site:target.com возвращает общий объём страниц в индексе. Запрос site:target.com -www убирает основной сайт и показывает поддомены: dev, staging, api, legacy-порталы. Оператор related:target.com выдаёт аффилированные домены - дочерние компании, партнёрские порталы, приобретённые бренды. По данным CybelAngel, это фундамент любого organization-specific расследования: без scoping-фазы дальнейшая разведка будет неполной.

Нюанс: related: работает не для всех доменов - Google возвращает результаты только для сайтов, которые сам считает достаточно "крупными". Для малого бизнеса оператор бесполезен.

File & content - information disclosure​

filetype:env site:target.com ищет .env-файлы с переменными окружения (DB_PASSWORD, API_KEY, SECRET_KEY). Расширяйте на sql, bak, log, conf, yml, json. Дорк intitle:"index of" site:target.com обнаруживает открытые directory listings - от них один шаг до скачивания любого файла из директории. Google Hacking Database (GHDB, поддерживается Offensive Security) - каталог готовых дорков, сортированных по категориям: файлы с паролями, error messages, open directories. GHDB применяется как чеклист при footprinting с помощью Google Dorks, а не как готовый рецепт.

Но: filetype: работает только с расширениями, которые Google умеет индексировать. Бинарные форматы (.sqlite, .kdbx) не ищутся - тут придётся копать иначе.

Authentication surface - картирование логинов​

Операторы inurl:login site:target.com, inurl:admin site:target.com, intitle:"VPN" OR intitle:"remote access" site:target.com выявляют точки входа для проверки на дефолтные credentials, brute-force protection и известные CVE. Для WordPress - inurl:"/wp-admin" site:target.com. Для 1С-Битрикс (свыше 30% корпоративного сегмента в России) - inurl:/bitrix/admin/ site:target.ru.

Technology fingerprinting через OSINT​

intitle:"phpinfo()" site:target.com выдаёт PHP-конфигурацию целиком: версия, модули, пути. intext:"Powered by" intext:"version" site:target.com - строки версий для сверки с NVD. intitle:"Grafana" OR intitle:"Kibana" site:target.com - мониторинговые платформы, часто выставленные без аутентификации (и это классика - торчат наружу в каждом втором проекте). Technology fingerprinting OSINT через дорки - не активное сканирование: данные уже в индексе, нужно только правильно спросить.

Threat intelligence - мониторинг утечек на сторонних платформах​

site:github.com "target.com" password OR secret OR key - код, в котором разработчики оставили credentials. site:pastebin.com "target.com" - paste-сайты с дампами. "@target.com" site:linkedin.com - перечисление email-адресов для целевого фишинга или credential stuffing. Эти запросы выходят за рамки инфраструктуры цели, но остаются полностью пассивными: open source intelligence footprinting не генерирует трафик на целевые серверы.

Пошаговый workflow: footprinting с помощью Google Dorks​

📚 Часть контента скрыта. Этот материал доступен участникам сообщества с рангом One Level или выше
Получить доступ просто — достаточно зарегистрироваться и проявить активность на форуме

Отдельный класс - поиск уязвимостей через google dorks на сторонних платформах: site:github.com "target.com" password, site:trello.com "target.com". Разработчики регулярно коммитят .env-файлы в публичные репозитории. По данным CrowdStrike Global Threat Report 2025, 75% вторжений в 2024 году использовали валидные учётные данные - и часть этих credentials были доступны через простой поисковый запрос.

Фаза 3 - валидация и переход от passive reconnaissance к pre-exploitation​

Находка в индексе Google - ещё не уязвимость. Индекс может быть устаревшим: страница удалена, credentials сменены, файл закрыт через .htaccess. Каждую находку нужно валидировать. Здесь passive reconnaissance инструменты уступают место активной проверке.

Пайплайн: из Google SERP извлекаем URL, проверяем доступность через httpx -status-code -title -tech-detect, затем прогоняем через nuclei с шаблонами из каталога http/exposures/. Для расширения покрытия - gau (Get All URLs): инструмент вытягивает известные URL из Wayback Machine и других архивов, дополняя результаты за пределами текущего индекса Google.
Bash:
# Массовая валидация exposure-находок:
echo target.com | gau --threads 5 \
  | grep -iE "\.(env|sql|bak|log|conf)$" \
  | httpx -silent -sc -title \
  | nuclei -t http/exposures/ -severity medium,high,critical
Конкретный пример из практики: дорк intitle:"FortiGate" site:target.com на внешнем пентесте обнаружил панель FortiGate. Проверка через nuclei-шаблон [URL='https://www.cve.org/CVERecord?id=CVE-2022-40684']CVE-2022-40684[/URL].yaml подтвердила authentication bypass (CVE-2022-40684, CVSS 9.8 CRITICAL, вектор CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H). Уязвимость затрагивает FortiOS 7.2.0–7.2.1 и 7.0.0–7.0.6, FortiProxy и FortiSwitchManager (CWE-287, CWE-288 - authentication bypass using alternate path). CVE-2022-40684 внесена в CISA KEV и связана с ransomware-кампаниями. Публичные PoC доступны на ExploitDB (EDB-51092).

Аналогичная цепочка: обнаружение Pulse Secure VPN через intitle:"Pulse Secure" site:target.com -> проверка на CVE-2019-11510 (CVSS 10.0 CRITICAL, arbitrary file reading в Pulse Connect Secure 8.2/8.3/9.0, CWE-22 path traversal). Для CVE-2019-11510 существует Metasploit-модуль (EDB-47297), а сама уязвимость также числится в CISA KEV с пометкой ransomware-связи.

Цепочка "дорк -> обнаружение панели -> nuclei -> CVE confirmation" - и есть pre-exploitation recon техники в чистом виде: переход от пассивного обнаружения к подтверждённому вектору атаки.

Ограничения Google Dorking и когда инструмент бесполезен​

[Применимо: внешний пентест, все типы инфраструктуры]

Понимание границ инструмента отличает результативного пентестера от скрипт-кидди. Дорки - не серебряная пуля, и вот где они ломаются.

CAPTCHA и rate limiting. Google начинает показывать CAPTCHA после 20-50 запросов подряд без пауз. Решения: паузы 10-30 секунд между запросами, ротация IP, Google Custom Search JSON API (100 бесплатных запросов в день - для серьёзного скоупа мало). Автоматизация через утилиты вроде pagodo требует прокси-пул.

Робот видит не всё. Корректно настроенный robots.txt + мета-тег noindex + серверная аутентификация - тройная защита, которую google hacking не пробивает. Дорки находят только то, что было проиндексировано по ошибке.

Устаревший индекс. Google может показывать результаты, которых уже не существует. Оператор cache: deprecated в 2024 году - ближайшая замена Wayback Machine, но покрытие непостоянно. Каждая находка из SERP требует валидации через httpx.

Cloud-native инфраструктура. Компании на AWS/GCP/Azure с инфраструктурой-как-код и автоматическим деплоем оставляют меньше следов в индексе, чем legacy-хозяйство с ручным управлением. Поддомен dev.target.com на bare-metal сервере с Apache 2.4 - лёгкая добыча. Kubernetes-кластер за CDN с корректными security headers - совсем другая история.

Юридические границы. Пассивная разведка через Google - серая зона: запросы уходят на серверы Google, а не на цель. Но скачивание найденного файла с credentials - прямое взаимодействие с инфраструктурой цели. Без scope document валидация находок может создать правовые риски.

ОграничениеЧто делать
CAPTCHA при массовых запросахПаузы 10-30 сек, ротация IP, Google CSE API (100 req/day)
Корректный noindex + robots.txt + authДорки бесполезны - переходи на active recon (subfinder, amass)
Устаревший индекс, нет cache:Валидация каждой находки через httpx перед включением в отчёт
Cloud-native с CDNДополняй Certificate Transparency (crt.sh) и Shodan
Нет scope documentФиксируй URL из SERP, не валидируй

Для российского сегмента работают Yandex-дорки: оператор mime: вместо filetype:, host: вместо site:. Яндекс индексирует .ru/.su-зоны глубже Google в ряде случаев, особенно для Битрикс-инфраструктуры. Запрос host:target.ru mime:env может вернуть результаты, которых нет в Google.

По моей статистике, в 60-70% внешних пентестов Google Dorks дают хотя бы одну находку уровня medium и выше. Но в оставшихся 30-40% - компании с грамотной конфигурацией, где дорки не возвращают ничего полезного. Тогда переключаемся на Certificate Transparency, ASN enumeration (T1596.001, T1596.002 по ATT&CK) и active scanning.

Полгода назад я начал фиксировать, сколько времени уходит на dorking-фазу и сколько критических находок она приносит. В среднем - 25-40 минут на скоуп из 3-5 доменов, и в каждом втором проекте хотя бы один .env или незакрытая admin-панель. Но есть момент, о котором мало кто говорит: большинство пентестеров останавливаются на этапе "нашёл в Google" и не доводят находку до валидации. Дорк показал phpinfo() - записали в отчёт как information disclosure уровня Low. А дальше? Версия PHP -> CVE -> exploit chain -> initial access -> foothold. Этот переход от пассивного recon к pre-exploitation и отличает формальный аудит от результативного пентеста.

В ближайшие пару лет Google продолжит ужимать возможности dorking: CAPTCHA станет агрессивнее, deprecated-операторов станет больше (после cache: в 2024 следующим под угрозой link:). Те, кто строит workflow исключительно на Google, окажутся в тупике. Рабочая связка: Google Dorks для первичного обнаружения, crt.sh для полноты покрытия, gau/Wayback для исторической глубины, nuclei для автоматической валидации. Кто владеет всей цепочкой - закрывает external attack surface mapping за один рабочий день, а не за неделю ручного ковыряния. Проверьте свой скоуп запросом site:your-domain.com filetype:env - если что-то вернулось, у вас та же проблема, что и у того финтеха из первого абзаца.
 
Последнее редактирование модератором:
Мы в соцсетях:

Взломай свой первый сервер и прокачай скилл — Начни игру на HackerLab

Похожие темы

🚀 Первый раз на Codeby?
Гайд для новичков: что делать в первые 15 минут, ключевые разделы, правила
Начать здесь →
🧭 Навигатор · ИБ 2026
Не знаешь, какой трек твой?
5 направлений ИБ, реальные зарплаты и точка входа для каждого — в одном треде.
JuniorSenior+
100K → 600K+ ₽ /мес
Открыть навигатор →
🔴 Свежие CVE, 0-day и инциденты
То, о чём ChatGPT ещё не знает — обсуждаем в реальном времени
Threat Intel →
💼 Вакансии и заказы в ИБ
Pentest, SOC, DevSecOps, bug bounty — работа и проекты от проверенных компаний
Карьера в ИБ →

HackerLab