Web界面

访问Shodan收集的数据最简单的方法是通过Web界面。所有的人都可以输入一个需要查询的设备。

搜索查询说明

默认情况下,搜索查询仅查看主横幅文本,不搜索元数据。例如,如果您要搜索“Google”,那么搜索结果将只包含标题中显示“Google”文本的结果; 它不一定会返回Google网络范围的结果。

Alt text

如上所述,搜索“谷歌”返回许多组织购买并连接到Internet的谷歌搜索设备;它不返回谷歌的服务器。

Shodan将尝试找到匹配所有搜索项的结果,这意味着隐含地在每个搜索项之间存在+AND连接符号。例如,搜索查询“apache + 1.3”相当于“apache 1.3”

要搜索特定的元数据需要使用搜索过滤器。

过滤器

过滤器是Shodan用来根据服务或设备的元数据缩小搜索结果的特殊关键字。输入过滤器的格式是:

filtername:value

注意 :和值之间没有空格

要使用包含过滤器空间的值,必须将值包含在双引号中。例如搜索圣地亚哥的所有联网设备:

city:"San Diego"

Alt text

筛选多个值可以使用,分开。比如要查找23号端口和1023号端口上运行telnet 的设备:

port:23,1023

Alt text

如果过滤语法不允许使用逗号(如port,hostname,net),那么可以使用多个值联合查询:

port:80,8080  city:"beijing" hostname:"baidu.com"

Alt text

当然也可以使用-排除结果。比如:

port:23,1023  -city:"San Diego"

Alt text

有时候也需要过滤一些主文本标题为空的搜索结果,这时候就需要使用-hash:0。比如:

port:8080 -hash:0

Alt text

Shodan上的每个banner都有一个哈希值,对于空的banner,hash值就为0。若尝试搜索简短的、静态的banner,使用哈希过滤语法就比较便捷。

shodan支持大量的过滤器,比较常用的是:

过滤器名 描述 举例
category 现有的分类:ics, malware category:"malware"
city 城市的名字 city:"San Diego"
country 国家简写 country:"ES" country:"CN"
net CIDR格式的IP地址 net:190.30.40.0/24
hostname 主机名或域名 hostname:"google"
port 端口号 port:21
org 组织或公司 org:"google"
isp ISP供应商 isp:"China Telecom"
product 软件、平台 product:"Apache httpd" product:"openssh"
os 操作系统 os:"Windows 7 or 8"
version 软件版本 version:"2.6.1"
geo 经纬度 geo:"46.9481,7.4474"

可参见附录B

搜索引擎

Alt text

默认情况下,搜索查询将查看过去30天内收集的数据。

下载数据

完成搜索后,顶部将出现一个名为“ 下载数据”的按钮。点击该按钮将为您提供以JSON,CSV(XML已经弃用)格式下载搜索结果的选项.

Alt text

JSON格式的文件,其中每行包括全部的banner和所有附带的元数据收集信息。这是保存所有可用信息的首选格式。格式与Shodan命令行客户端兼容,这意味着可以从Shodan网站下载数据,然后使用终端进一步处理。

CSV格式的文件,返回包含IP、端口,banner,组织和主机名内容。它不包含由于CSV文件格式的限制收集的所有Shodan信息。如果只关心结果的基本信息,并希望快速将其加载到外部工具(如Excel)中,可以使用此方法。

下载数据会消耗积分,积分需要在网站上购买。积分与Shodan API没有任何关联,并且不会每月自动更新。1积分可用于下载10000个结果。

生成报告

Shodan可让根据搜索查询生成报告。该报告包含图表,可以全面了解互联网上的分发结果。这个功能是免费的,任何人都可以使用。

分享结果

搜索完成之后,可以自定义,分享内容给其他Shodan用户。

Alt text

共享搜索查询是公开查看的

例子

搜索美国 的服务器在8080端口上运行8.0版本IIS服务的服务器:

port:8080 product:"Microsoft-IIS" country:"US" version:"8.0"

Alt text

搜索可能受到DOUBLEPULSAR攻击的机器:

port:445 "SMB Version: 1" os:Windows !product:Samba

Alt text

搜索所有nist.gov域名里的apache服务:

apache hostname:.nist.gov

Alt text

Shodan地图

https://maps.shodan.io/

直观的地图界面,显示搜索的结果

Alt text

使用Alt text可改变显示风格,有卫星、街景选项。

Shodan Exploits

https://exploits.shodan.io

Shodan Exploits收集来自CVE,Exploit DB和Metasploit的漏洞和攻击,使其可通过Web界面进行搜索。

Alt text

Shodan Exploit搜索的结果不同于Shodan,Exploit搜索的内容包括exploit的信息和元数据。

名称 描述 举例
author 漏洞或exploit的作者 author:"Tom Ferris"
description 描述 description:"remote"
platform 平台 platform:"php" platform:"windows" platform:"Linux"
type 漏洞类型 type:"remote" type:"dos"

Shodan Images

https://images.shodan.io

顶部的搜索框使用与Shodan主搜索引擎相同的语法。使用搜索框按组织或网点筛选最有用。但是,它也可以用于过滤显示的图像类型。

Alt text

图像数据主要来自:

  • VNC
  • Remote Desktop (RDP)
  • RTSP
  • Webcams
  • X Windows

每个图像源来自不同的端口/服务,因此具有不同的banner。如果只想看到来自摄像头的图像,你可以搜索:

HTTP

Alt text

查找VNC可以输入RFB,查找RTSP可以使用RTSP

如果在Shodan中搜索截图,可以使用has_screenshot:true

has_screenshot:true country:"KR"

Alt text

Alt text

共享的Shodan搜索语法

链接见https://www.shodan.io/explore

Alt text

results matching ""

    No results matching ""