Добро пожаловать обратно, начинающие кибервоины!
В мире OSINT доркинг Google остаётся одним из самых популярных методов разведки. В то время как многие хакеры сосредоточены на поиске уязвимых веб-приложений или открытых каталогов, существует кладезь конфиденциальной информации, скрывающийся на виду: личные базы знаний и системы ведения заметок, которые пользователи непреднамеренно выкладывают в интернет.
Сегодня я поделюсь особенно интересным открытием Google: inurl
ublish-01.obsidian.mdэтот простой запрос позволяет получить доступ к опубликованным хранилищам Obsidian — личным вики, исследовательским заметкам, проектной документации, а иногда и к крайне конфиденциальной информации, которую пользователи никогда не планировали делать общедоступной.
Obsidian — это приложение для управления знаниями и создания заметок, которое хранит данные в обычных файлах Markdown. Оно стало невероятно популярным среди исследователей, разработчиков, писателей и специалистов, стремящихся создать взаимосвязанный «второй мозг» информации.
Obsidian Publish — официальный сервис хостинга, позволяющий пользователям публиковать свои личные заметки онлайн в виде вики, баз знаний или цифровых садов. Он разработан для того, чтобы упростить обмен знаниями — возможно, даже слишком для пользователей, которые не до конца понимают последствия.
ublish.obsidian.md
Большинство URL-адресов ведут на страницы Wiki. Поэтому давайте попробуем быть точнее и поищем исходный код и конфигурацию:inurlublish-01.obsidian.md ("config" | "configuration" | "settings")
В результате мы нашли записку начинающего хакера.
Теперь давайте найдем некоторые данные для входа:inurlublish-01.obsidian.md ("username" | "login" | "authentication")
Здесь мы видим относительно актуальные данные о недвижимости. Учётные данные не найдены; результат появляется просто потому, что в правом верхнем углу страницы отображается слово «login» .
Экспериментируя с различными поисковыми запросами, вы можете извлекать различные типы конфиденциальной информации, например данные истории браузера.
В мире OSINT доркинг Google остаётся одним из самых популярных методов разведки. В то время как многие хакеры сосредоточены на поиске уязвимых веб-приложений или открытых каталогов, существует кладезь конфиденциальной информации, скрывающийся на виду: личные базы знаний и системы ведения заметок, которые пользователи непреднамеренно выкладывают в интернет.
Сегодня я поделюсь особенно интересным открытием Google: inurl
ublish-01.obsidian.mdэтот простой запрос позволяет получить доступ к опубликованным хранилищам Obsidian — личным вики, исследовательским заметкам, проектной документации, а иногда и к крайне конфиденциальной информации, которую пользователи никогда не планировали делать общедоступной.Что такое Obsidian и Obsidian Publish?
Obsidian — это приложение для управления знаниями и создания заметок, которое хранит данные в обычных файлах Markdown. Оно стало невероятно популярным среди исследователей, разработчиков, писателей и специалистов, стремящихся создать взаимосвязанный «второй мозг» информации.
Obsidian Publish — официальный сервис хостинга, позволяющий пользователям публиковать свои личные заметки онлайн в виде вики, баз знаний или цифровых садов. Он разработан для того, чтобы упростить обмен знаниями — возможно, даже слишком для пользователей, которые не до конца понимают последствия.
Архитектура
Когда вы публикуете свое хранилище Obsidian с помощью Obsidian Publish, ваши заметки размещаются в инфраструктуре Obsidian на таких доменах, как:- publish.obsidian.md/[vault-name]
- publish-01.obsidian.md/[path]
Проведение разведки
Давайте начнем с простого Google-придурка:inurlublish.obsidian.md
Большинство URL-адресов ведут на страницы Wiki. Поэтому давайте попробуем быть точнее и поищем исходный код и конфигурацию:inurl
ublish-01.obsidian.md ("config" | "configuration" | "settings")
В результате мы нашли записку начинающего хакера.
Теперь давайте найдем некоторые данные для входа:inurl
ublish-01.obsidian.md ("username" | "login" | "authentication")
Здесь мы видим относительно актуальные данные о недвижимости. Учётные данные не найдены; результат появляется просто потому, что в правом верхнем углу страницы отображается слово «login» .
Экспериментируя с различными поисковыми запросами, вы можете извлекать различные типы конфиденциальной информации, например данные истории браузера.
