Shodan

De Justine's wiki
Aller à la navigation Aller à la recherche

PDF officiel, liens

Fichier:Shodan.pdf Des queries intéressantes

Disambiguation

Shodan est une entreprise qui propose plusieurs choses. Je vais dans un premier temps parler de Shodan search, leur produit le plus connu. https://www.shodan.io/about/products

Présentation de shodan Search

Source Shodan search est un moteur de recherche permettant de chercher des appareils spécifiques en ligne. Les recherches les plus populaires concernent des webcams, du matériel Cisco, netgear, etc. Shodan scanne tout le net et parse les bannières renvoyées par les différents appareils; grâce à ces informations, on peut par exemple savoir quel serveur web est le plus utilisé, ou combien de serveurs FTP anonymes existent à un endroit précis. Shodan est surtout utilisé dans la sécurité autour de l'IOT.

Utilisation de Shodan Search

Basique

On peut simplement se rendre sur la page d'accueil et faire une recherche comme sur Google, par exemple. Ici, je cherche "nginx". Si je tape le mot "squirrel", shodan va parser dans toutes les bannières qu'il a récupéré et me donner tous les résultats dont la bannière contient le mot "squirrel".

À partir de là, on peut faire une recherche par zone géographique. La barre de gauche nous donne déjà des informations :

  • Une carte géographique des résultats
  • Le top des ports
  • Le top des organisations (FAIs)
  • Le top des OS
  • Le top des produits (nom du logiciel)

En cliquant sur "more" pour une des catégories, on a accès à des graphiques. En cliquant sur l'un des produits dans "products", par exemple, j'ajoute ce filtre à la recherche.


La section centrale nous donne la liste des résultats. Chacun contient :

  • IP
  • Hostname
  • FAI
  • Date d'ajout dans la DB de Shodan
  • Le pays
  • La bannière en elle-même

En cliquant en haut sur "View report", j'ai un rapport détaillé.

En cliquant sur le nom de l'entrée, j'arrive en mode détaillé.

Il existe aussi un lien "show on map", payant. D'ailleurs l'abonnement permet pas mal d choses, comme du monitoring, de l'export de données, etc.

Filtres

Comme tout moteur de recherche, l'intérêt vient des filtres.

Format des filtres

Le format des filtres est 'filtre:valeur'. Si la valeur contient des espaces, il faut la mettre entre quotes : 'city:"San Diego"'. Certains filtres marchent avec des virgules : 'port:80,22,443'. Si le filtre ne marche pas avec des virgules, c'est qu'on peut l'utiliser plusieurs fois.

On peut aussi utiliser un filtre de façon négative avec - : '-city:Melun' excluerait les serveurs situés à Melun (snif). Les filtres négatifs sont souvent les plus utiles.

Quelques Filtres

La liste complète est dispo dans le Fichier:Shodan.pdf.

Quelques filtres courants :

  • city : la ville
  • country
  • geo : Coordonnées géotgraphiques
  • hostname
  • net : recherche basée sur un CIDR / une IP
  • os
  • port
  • before/after : Pour préciser des dates

Avancée

En combinant des filtres, on peut faire des recherches précises. Le plus simple est de partir d'une recherche généraliste et de resserer. En partant de "apache city:Paris", par exemple, et en cliquant sur le filtre "Apache Tomcat/Coyote JSP engine" dans la section "Products", je trouve tous les tomcats via apache fonctionnant depuis Paris.

Récupérée de « https://wiki.squi.fr/index.php?title=Shodan&oldid=2213 »