Shodan: o Google do mal

Bom galera nesse artigo vou citar o irmão malvado do google que é o shodan. Diferente do google que é uma engine que busca textos em sites ele também é uma engine de busca porem muito mais especifica ao invés de simples textos ele busca os cabeçalhos de servidores, o shodan pode ser usado para buscar sites com vulnerabilidades especificas, servidores rodando com determinado sistema operacional especifico, listar maquinas com determinado serviços ou porta aberta, servidores com senhas padrões, entre outras coisas, acredite ou não ate reatores usando modbus e SCADA esse carinha é capaz de indexar;

[Tens de ter uma conta e sessão iniciada para poderes visualizar este link]

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Recomendo você se registrar com acesso free por que o shodan é limitado se você não se registrar não pode filtrar o resultado, então quando usar uma string de busca não vai funcionar e retornando a mensagem "Please login to use search filters", mesmo registrando ele ainda é bem limitado retornando uma quantidade muito menor do que o acesso pago, outra vantagem de se registrar que você recebe uma APIKey que pode usar em programação sendo que ele disponibiliza algumas APIs de busca em python e ruby, na pagina principal podemos digitar a nossa pesquisa no caso aqui para brincar eu digitei a palavra kodo, com isso ele me retornou um monte de maquinas/servidores que tem essa palavra kodo no cabeçalho (não foram tantas assim kkk). Podemos perceber na imagem abaixo onde eu destaquei em vermelho são as informações de localização daquela maquina IP, domínio (host), país, etc, a parte que eu destaquei em azul é o header do serviço, e a parte verde é a estatística da busca ou seja quantas maquinas foram encontradas que contem a mesma resposta seja o serviço rodando ou alguma outra informação.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

No caso acima ele localizou apenas 9 maquinas que tem a ver com a palavra ''kodo'' sendo 5 delas nos estados unidos, sendo 5 servidores ssh no total e 2 desses servidores sendo openssh, se a gente apertar em uma das opções na estatística ele filtra essas máquinas.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

É possível apertar em ''detail'' que fica em baixo da onde exibe o IP e a bandeirinha do país para mostrar mais informação daquele IP, no caso a cidade do ISP que existe possibilidade de ser a mesma do servidor (geograficamente), a ultima atualização que shodan fez naquele servidor, as portas que foram indexadas pelo shodan com o nome dos serviços, e os headers de todos os serviços que o shodan descobriu, e no topo um mapa do local do IP.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Se eu olhar no header do shodan e procurar a palavra ''kodo'' vou perceber que ele localizou ela dessa parte:

Código:

<meta name="application-name" content="kodo&nbsp;-&nbsp;Synology&nbsp;DiskStation" />

Se eu ir naquele servidor e olhar no header ou no conteúdo do pacote (nesse caso também da para ver no código fonte) vou perceber que realmente esta la o que o shodan localizou, sem dizer que o shodan localizou uma maquina la na pqp rodando um nginx na porta 5000 com um texto kodo e ultima vez que ele atualizo nesse servidor foi 30/05/16.

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Agora que já sabemos o que é o shodan, vamos aprender algumas strings para filtrar mais o conteúdo já que apenas buscamos uma única palavra, para a gente filtrar por sistema operacional usamos a strings "os:" seguido dos sistemas:

Código:

os:windows

Colocamos entre aspas caso seja mais de uma palavra:

Código:

os:"windows xp"

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

A maldade começa ai já que você pode buscar sistemas windows com serviço rdp ativos para conectar neles, nesse caso aqui o shodan localizou 29227 máquinas com serviços RDP ativo e eu me pergunto quantas dessas maquinas estão com usuário e senha fraca, você pode testar uma a uma com o próprio windows ou usar o rdesktop do linux ou ate um ataque de força bruta em massa (o foco aqui não é ensinar explorar e sim mostrar o shodan então vamos esquecer isso por hora).

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Também podemos filtrar por portas especificas com a string port: seguido da porta:

Código:

port:21

É possível filtrar por pais com a string country:

Código:

country:JP

Podemos procurar um serviço específico usando a string product:

Código:

product:Mysql

Também podemos procurar uma versa-o com a string version: porem ele vai retornar qualquer serviço que tenha essa versão:

Código:

version:2.5

Buscar um título especifico usamos a string title:

Código:

title:login

Para buscar um trecho do código html usamos a string html

Código:

html:"<h1>Bem vindo</h1>"

Podemos listar uma rede com a string net:

Código:

net:177.103.0.0/16

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Também é possível usar mais de um filtro:

Código:

os:"windows xp" port:445 country:US

Ou separar por vírgula. Exemplo:  a busca da porta 80 e 443

Código:

port:80,443

É possível usar shodan ate para localizar maquinas infectadas com malware como por exemplo o trojan njrat

Código:

product:njrat country:BR

[Tens de ter uma conta e sessão iniciada para poderes visualizar esta imagem]

Então galera, o shodan é uma excelente engine para buscar informação ou ate mesmo alvos alem do mais esse tutorial é o básico do que se pode fazer com shodan então não se limite a ele tente desenvolver suas próprias ''querys'' de busca analisando alguns programas ou serviços, na duvida lembre-se se ficar o shodan pega se correr o shodan come kkkkk.

Créditos: Flavs e kodo no kami