Matriux Community

Brazilian Community => # tutoriais e outros documentos => Topic started by: kodo no kami on June 01, 2016, 04:34:43 AM



Title: [tutorial] shodan: o google do mal
Post by: kodo no kami on June 01, 2016, 04:34:43 AM
bom galera nesse artigo vou citar o irmão malvado do google que é o shodan, diferente do google que é uma engine que busca textos em sites ele tambem é uma engine de busca porem muito mais especifica ao inves de simples textos ele busca os cabeçalhos de servidores, o shodan pode ser usado para buscar sites com vunerabilidades especificas, servidores rodando com determinado sistema operacional especifico, listar maquinas com determinado serviços ou porta aberta, servidores com senhas padrões, entre outras coisas, acredite ou não ate reatores usando modbus e SCADA esse carinha é capaz de indexar, para começar a gente abre o site shodan

link shodan (https://www.shodan.io)

(http://i66.tinypic.com/efqef6.jpg)

recomendo voce se registrar com acesso free isso por que o shodan é limitado se voce nao se registrar nao pode filtrar o resultado entao quando usar uma string de busca nao vai funcionar e retornando a menssagem "Please login to use search filters", mesmo registrando ele ainda é bem limitado retornando uma quantidade muito menor do que o acesso pago, outra vantagem de se registrar que voce recebe uma APIKey que pode usar em programação sendo que ele disponibiliza algumas APIs de busca em python e ruby, na pagina principal podemos digitar a nossa pesquisa no caso aqui para brincar eu digitei a palavra kodo, com isso ele me retornou um monte de maquinas/servidores que tem essa palavra kodo no cabeçalho (se bem que nao foram tantas assim kkkk), bom podemos perceber na imagem abaixo onde eu destaquei em vermelho são as informações de localização daquela maquina IP, dominio (host), país, etc, a parte que eu destaquei em azul é o header do serviço, e a parte verde é a estatistica da busca ou seja quantas maquinas foram encontradas que contem a mesma resposta seja o serviço rodando ou alguma outra informação

(http://i65.tinypic.com/2sbx4p0.jpg)

no caso acima ele localizo apenas 9 maquinas que tem a ver com a palavra kodo sendo 5 delas nos estados unidos, sendo 5 servidores ssh no total e 2 desses servidores sendo openssh, se a gente apertar em uma das opções na estatistica ele filtra essas maquinas

(http://i64.tinypic.com/htbjbr.jpg)

é possivel apertar em detail que fica em baixo da onde exibe o IP e a banderinha do pais para mostrar mais informação daquele IP, no caso a cidade do ISP que existe possibilidade de ser a mesma do servidor (geograficamente), a ultima atualização que shodan fez naquele servidor, as portas que foram indexadas pelo shodan com o nome dos serviços, e os headers de todos os serviços que o shodan descobriu, e no topo um mapa do local do IP

(http://i67.tinypic.com/11kiidv.jpg)

se eu olhar no header do shodan e caçar a palavra kodo vou perceber que ele localizo ela dessa parte

Code:
<meta name="application-name" content="kodo&nbsp;-&nbsp;Synology&nbsp;DiskStation" />

se eu ir naquele servidor e olhar no header ou no conteudo do pacote (nesse caso tambem da para ver no codigo fonte) vou perceber que realmente esta la o que o shodan localizo, sem dizer que o shodan localizo uma maquina la na pqp rodando um nginx na porta 5000 com um texto kodo e ultima vez que ele atualizo nesse servidor foi 30/05/16 isso sim é sinistro '-'

(http://i65.tinypic.com/20isw34.jpg)

agora que ja sabemos o que é o shodan vamos aprender algumas strings para filtrar mais o conteudo ja que apenas buscamos uma unica palavra, para a gente filtrar por sistema operacional usamos a strings "os:" seguido dos sistema

Code:
os:windows

colocamos entre aspas caso seja mais de uma palavra

Code:
os:"windows xp"

(http://i64.tinypic.com/2afe7bc.jpg)

a maldade começa ai ja que voce pode buscar sistemas windows com serviço rdp ativos para conectar neles, nesse caso aqui o shodan localizo 29227 maquinas com serviços RDP ativo e eu me pergunto quantas dessas maquinas estao com usuario e senha fraca, voce pode testar uma a uma com o proprio windows ou usar o rdesktop do linux ou ate um ataque de força bruta em massa (o foco aqui não é ensinar explorar e sim mostrar o shodan entao vamos esquecer isso por hora)

(http://i68.tinypic.com/bhftpt.jpg)

tambem podemos filtrar por portas especificas com a string port: seguido da porta

Code:
port:21

é possivel filtrar por pais com a string country:

Code:
country:JP

podemos caçar um serviço especifico usando a string product:

Code:
product:Mysql

tambem podemos caçar uma versao com a string version: porem ele vai retornar qualquer serviço que tenha essa versao

Code:
version:2.5

buscar um titulo especifico usamos a string title

Code:
title:login
para buscar um trecho do codigo html usamos a string html

Code:
html:"<h1>Bem vindo</h1>"
tambem podemos listar uma rede com a string net:

Code:
net:177.103.0.0/16

(http://i64.tinypic.com/24zjecz.jpg)

tambem é possivel usar mais de um filtro

Code:
os:"windows xp" port:445 country:US

ou separar por virgula exemplo a busca da porta 80 e 443

Code:
port:80,443

é possivel usar shodan ate para localizar maquinas infectadas com malware como por exemplo o trojan njrat

Code:
product:njrat country:BR

(http://i65.tinypic.com/wpqwj.jpg)

o shodan tambem disponibiliza uma extensao para o navegador onde basta apertar nela para exibir as portas

(http://i67.tinypic.com/2zqhd0i.jpg)

alem de existir um auxiliary no metasploit do shodan porem vamos deixar ele para um proximo tutorial \o

(http://i64.tinypic.com/301zgoo.jpg)

entao galera shodan é uma excelente engine para buscar informação ou ate mesmo alvos alem do mais esse tutorial é o basico do que se pode fazer com shodan entao nao se limite a ele tente desenvolver suas proprias query de busca analisando alguns programas ou serviços, na duvida lembre-se se ficar o shodan pega se correr o shodan come kkkkk

by kodo no kami