Part 1！蓝队Shodan - 语法篇

介绍

互联网无处不在，是我们网络社会不可或缺的一部分。从服务器、网络摄像头、路由器到工业控制系统，数十亿设备连接到互联网，在连接提供令人难以置信的便利的同时，它也带来了新的安全风险。识别互联网上带来的安全风险非常重要。Shodan 是一种搜索引擎，它可以筛选互联网各层，揭示隐藏且可公开访问的设备的世界。

Shodan搜索与任何其他搜索引擎有何不同？

Shodan 探索并索引来自各种互联网连接设备的元数据和横幅，而不仅仅是索引网页。Shodan 使用户能够通过收集有关开放端口、设备类型、地理位置甚至潜在漏洞的信息，获得对互联设备的广泛生态系统的重要见解。

Shodan 是网络安全专家和研究人员的重要工具。它为他们提供了独特的视角，使他们能够发现潜在的安全问题，调查其面向公众的资产的范围，并更好地了解全球物联网生态系统。

在本文中，我们将通过一些有趣的示例深入研究 Shodan Searches 的功能，以探索蓝队威胁狩猎，以增强组织的网络安全基础设施防御能力。

Shodan 搜索分为两个部分：

为了运行搜索，已使用基本会员资格，其中查询和扫描信用额度为 100（每月），总共可以监控 16 个 IP。 可用的搜索过滤器存在一些限制：标签和漏洞过滤器在此基本 Shodan 计划中不可用。

第1节

从蓝队的角度来看，暴露在互联网上的 IP 范围可能是一个主要的安全问题。过期的证书、已知的漏洞和暴露的服务都是蓝队在评估暴露的 IP 范围时应该寻找的潜在安全风险。

首先了解您组织的IP范围

基于组织IP范围的基本搜索，以查找通过Internet公开的内容

搜索1：查找您的组织IP范围公开服务和端口详细信息。

• 在这个简单的例子中，Shodan搜索公司的IP范围并查看互联网上暴露的服务和端口。

注意：以下IP范围正在使用中

net:118.69.133.0/24

图片

现在结果包含 450 个 IP，要缩小搜索范围，可以添加更精确的过滤器，例如操作系统/端口/产品。

搜索2：在您的组织中寻找公开的IP摄像机。（我们搜索了海康威视公司的网络摄像机）

net:118.69.133.0/24 product:”Hikvision IP Camera”

图片

现在结果已降至 47。

搜索3：在此搜索中，查找在暴露端口上运行的服务，可以通过端口号进一步缩小范围

net:118.69.133.0/24 product:”Hikvision IP Camera” port:9013

图片

结果减少到 5 个 IP，并且在结果中可以看到 Webserver 正在端口 9013 上运行

搜索4：如果您有兴趣查找未在前1024个端口上运行的服务。您可以在字段名称端口前面使用“-”来排除小于1024的端口。

net:118.69.133.0/24 -port:<=1024

图片

在这种情况下，还可以提供您想要（或想要排除）的多个端口

搜索5：在这个简单的Shodan搜索中，可以提供一个网段中的多个端口号来检查端口上运行的并通过互联网公开的服务

net:118.69.133.0/24 port:80,443,9013

图片

搜索6：或者只是监控暴露在互联网上但不在标准端口上运行的程序。使用“-”排除标准端口号。

net:118.69.133.0/24 -port:25,53,80,443

Port 25: SMTP Port 53 : DNS Port 80 : HTTP Port 443 : HTTPS

图片

搜索7：此搜索使用自签名/默认证书查找公司 IP 范围内的暴露服务器，可以使用以下查询

net:52.48.15.0/24 ssl.cert.issuer.cn:”example.com”

图片

第2节

在本节中，我们将介绍更多有关搜索的信息，从网络安全专业人员/研究人员的角度来看，这些搜索可能会有所帮助。

搜索1：在搜索中可以查找未在标准端口3306（MySQL端口）上运行的MySQL服务，并忽略MySql的80,443

-port:80,443.3306 product:”MySql”

图片

在类似的搜索查询中，可以添加公司的 IP 范围，以缩小您环境的搜索范围。同样，也可以根据您公司的产品来搜索多个产品。

搜索2：在此搜索中，可以查找未在标准端口上运行的 FTP 服务器所在的 Amazon 组织。

-port:21,22 product:”FTP” org:Amazon

图片

搜索3：蜜罐被标记为Shodan上的蜜罐。由于这是Shodan的基本计划，标签过滤器将不起作用。在这一搜索中，人们还可以使用蜜罐作为一种暴露于互联网的产品。此外，您还可以检查SSL证书是否过期。( ssl.cert.expired: True 表示SSL证书已过期， False表示SSL证书未过期)

product:honeypot ssl.cert.expired:True

图片

搜索4：在此搜索中，可以搜索允许匿名登录的FTP端口21，该端口位于印度。

“220” “230 Login successful.” port:21 country:IN

图片

搜索5：在这个搜索中，可以查找root登录成功且端口不是23（Telnet）

-port:23 “Login Successful”

图片

搜索6：此 Shodan 搜索查询正在查找带有屏幕截图的打印服务器。

“print server” has_screenshot:true

图片

搜索7：这是简单的 Shodan 盲搜索之一，带有文件加密消息。

“Your Files Have Been Encrypted”

图片

结论

Shodan 是一个有趣的工具，我相信每个蓝队都应该使用它来监控他们的组织。它可以帮助蓝队识别可能成为安全风险的奇怪的互联网暴露。

在下一部分中，我将讨论 Shodan CLI 和 Shodan API，以将安全监控提升到新的水平。