Part 1！蓝队Shodan - 语法篇

现在只对常读和星标的公众号才展示大图推送，建议大家把潇湘信安“设为星标”，否则可能看不到了！

介绍

Shodan 探索并索引来自各种互联网连接设备的元数据和横幅，而不仅仅是索引网页。Shodan 使用户能够通过收集有关开放端口、设备类型、地理位置甚至潜在漏洞的信息，获得对互联设备的广泛生态系统的重要见解。

Shodan 是网络安全专家和研究人员的重要工具。它为他们提供了独特的视角，使他们能够发现潜在的安全问题，调查其面向公众的资产的范围，并更好地了解全球物联网生态系统。

在本文中，我们将通过一些有趣的示例深入研究 Shodan Searches 的功能，以探索蓝队威胁狩猎，以增强组织的网络安全基础设施防御能力。

Shodan 搜索分为两个部分：

为了运行搜索，已使用基本会员资格，其中查询和扫描信用额度为 100（每月），总共可以监控 16 个 IP。

可用的搜索过滤器存在一些限制：标签和漏洞过滤器在此基本 Shodan 计划中不可用。

从蓝队的角度来看，暴露在互联网上的 IP 范围可能是一个主要的安全问题。过期的证书、已知的漏洞和暴露的服务都是蓝队在评估暴露的 IP 范围时应该寻找的潜在安全风险。

首先了解您组织的IP范围

基于组织IP范围的基本搜索，以查找通过Internet公开的内容

搜索1：查找您的组织IP范围公开服务和端口详细信息。

• 在这个简单的例子中，Shodan搜索公司的IP范围并查看互联网上暴露的服务和端口。

注意：以下IP范围正在使用中

net:118.69.133.0/24

现在结果包含 450 个 IP，要缩小搜索范围，可以添加更精确的过滤器，例如操作系统/端口/产品。

搜索2：在您的组织中寻找公开的IP摄像机。（我们搜索了海康威视公司的网络摄像机）

net:118.69.133.0/24 product:”Hikvision IP Camera”

现在结果已降至 47。

搜索3：在此搜索中，查找在暴露端口上运行的服务，可以通过端口号进一步缩小范围

net:118.69.133.0/24 product:”Hikvision IP Camera” port:9013

结果减少到 5 个 IP，并且在结果中可以看到 Webserver 正在端口 9013 上运行

搜索4：如果您有兴趣查找未在前1024个端口上运行的服务。您可以在字段名称端口前面使用“-”来排除小于1024的端口。

net:118.69.133.0/24 -port:<=1024

在这种情况下，还可以提供您想要（或想要排除）的多个端口

搜索5：在这个简单的Shodan搜索中，可以提供一个网段中的多个端口号来检查端口上运行的并通过互联网公开的服务

net:118.69.133.0/24 port:80,443,9013

搜索6：或者只是监控暴露在互联网上但不在标准端口上运行的程序。使用“-”排除标准端口号。

net:118.69.133.0/24 -port:25,53,80,443

Port 25: SMTP

Port 53 : DNS

Port 80 : HTTP

Port 443 : HTTPS

搜索7：此搜索使用自签名/默认证书查找公司 IP 范围内的暴露服务器，可以使用以下查询

net:52.48.15.0/24 ssl.cert.issuer.cn:”example.com”

第2节

-port:80,443.3306 product:”MySql”

在类似的搜索查询中，可以添加公司的 IP 范围，以缩小您环境的搜索范围。同样，也可以根据您公司的产品来搜索多个产品。

-port:21,22 product:”FTP” org:Amazon

product:honeypot ssl.cert.expired:True

搜索4：在此搜索中，可以搜索允许匿名登录的FTP端口21，该端口位于印度。

“220” “230 Login successful.” port:21 country:IN

-port:23 “Login Successful”

“print server” has_screenshot:true

“Your Files Have Been Encrypted”

在下一部分中，我将讨论 Shodan CLI 和 Shodan API，以将安全监控提升到新的水平。

 还在等什么？赶紧点击下方名片开始学习吧！

推 荐 阅 读

原文始发于微信公众号（潇湘信安）：Part 1！蓝队Shodan - 语法篇