Уязвимость гуглдоков и поиск в ней баз (Продолжение)
@MRXIChannelWikipedia MRX - Главная страница
Базы и их поиск - Назад
В прошлом посте Уязвимость гуглдоков и поиск в ней баз мы разобрали жирнейший источник баз, как email, так и других соц-сетей и месенеджеров, но моя цель вложить свои наработки по максимуму, приступим.
site:google.com/spreadsheets/ - Этот запрос позволяет нам искать информацию в гугло-сервисе "Гугл таблицы" , как это работает и почему я могу объяснить лично @CCCRu, либо можете прочитать в прошлом уроке.
Главное то, что мы этим запросом "отсеиваем" большую часть "мусора"
Но что бы получать к примеру больше "Целевых баз"
Я заметил одну особенность:
1) Все "Пампы" проектов настроены однотипно, а зачастую и оформлены
Из этого я увидел, что в названии таблицы часто присутствует слово:
Responses, что в переводе на русский означает : "Ответы"
Давайте попробуем добавить к предыдущему запросу этот "Ключ"
Получилось так :
Замечательно!
Теперь мы получаем не таблицы с базами вперемешку с лендингами AirDrop и Bounty ( Под лендингами я подразумеваю тут страницы в на базе "Гугл таблиц", которые пока для нас не несут полезной нагрузки, но это только пока xD )
В общем весь мусор мы отсеиваем с подобным подходом.
Дальше есть хороший пример, где же брать эти "Ключи" для комбинации с нашим основным запросом site:google.com/spreadsheets/ ?
Я покажу один из примеров.
"Стрелками" я указал те самые возможные "Ключи"
Пробуем:
Результат "Теста"
С одного добавленного ключа получили 342 результата аналогичных
Но прикол в том, что вероятность того, что из 342 страниц будут лучше исходного результата, растет в геометрической прогрессии при разборе результатов
Первый сайт, как видно на скрине, получил совершенно новый результат со статистиками и графиками отложил изучить позже.
Но уже во втором результате я вижу следующую картину:
Получаю базу сразу нескольких источников , так же дополнительную информацию , но по опыту скажу, что с этой страницы использовать можно 15к учетных записей
Но есть такие таблицы, где по 100+к адресов почт и других месенеджеров
и стоит только начать делать и данные можно собрать другие.
Убедитесь сами по этой таблице
https://docs.google.com/spreadsheets/d/1QuCL4RgRc5v_dfPyNxgZwk5f69Gzh5nd22A1Bq_Bgbw/edit#gid=78104686
А вот сам запрос в яндекс (как они утверждают они "пофиксили" утечку чувствительной информации xD)
Не стоит забывать, что поисковики индексируют все данные страницы,
по этому я покажу еще кое-что.
Если вернуться к теории AirDrop и Bounty то сами участники, "Ловцы за коинами" и легкого заработка , участвуют не в одном из "Пампов",
по этой причине они заполняют формы и делают несложные действия в нескольких проектов, тем самым, попадая в разные базы, мы можем сделать запрос в котором будет один из контактов нашей исходной базы, тем самым, получив возможность посмотреть проиндексированные проекты с его участием.
Но сразу предупреждаю, результатов крайне мало, так как объемы данных большие и выдача в основном редко выдает результат . Так как основные пользователи все же "одноразовые" участники проекта.
В общем дальше еще будет веселее
Заходите на мой канал: https://t.me/MRXIChannel
Там я с помощью опросов могу корректировать порядок выхода статей.
Сейчас по ходу написания поста меня посетило еще куча идей, так что скоро я вынесу их на обсуждение.
Важное из статьи :
Используйте заголовки "Столбцов" и части названия таблиц, комбинируя запросы, не забывая, что основной наш "Фильтр" site:google.com/spreadsheets/ ,который отсеивает выдачу.
Ваша задача чуть "Приправить" по своему вкусу запросами (их можно просто придумывать)
Бонус:
Берем адрес eth кошелька клиента
Заходим на https://etherscan.io
И чекаем его баланс как Ефириум монет так и Альткоинов других проектов
Нехило да ?
У нас не просто контакт Марьи Ивановны из зажопинска
А типа что имеет общий баланс на кошельке 3к$ +
И таких контактов у нас тысячи
В одном из ДЗ я давал задание в приватной группе по обучению написать на бесплатной программе для автоматизации чекер балансов этих таблиц
Довольно быстро у многих получилось, так что сделать выборку толстосумов не составит труда, и как я обучаю в потоке по "Хакингу", впарить ему софт подмены кошельков для отправления крипты и других кошельков, или просто получить доступ к его ПК методом рассылки который я продвигаю для работы с этими базами...
В общем на сегодня пока все =:
Моя Личка по поводу обучения: @CCCRu
(Писать с пометкой "Забери мои деньги" )
По поводу качества обучения:
Если включить логику то можно понять что я выкладываю в свободный доступ то что не везде купишь точнее на данный момент нигде.
Верхушка Айсберга (с) MRX by Spam