Статья Поисковые запросы для Shodan.

[Admin]

Со временем собрал ассортимент интересных поисковых запросов к Shodan, буквально поисковая система в Интернете.
Некоторые возвращают результаты серьезных и/или древних уязвимостей. Большинство поисковых фильтров требуют учетной записи Shodan https://www.shodan.io/

Samsung Electronic Billboards​

"Server: Prismview Player"

Gas Station Pump Controllers​

"in-tank inventory" port:10001

Automatic License Plate Readers​

P372 "ANPR enabled"

Traffic Light Controllers / Red Light Cameras​

mikrotik streetlight

Voting Machines in the United States​

"voter system serial" country:US

Telcos Running Cisco Lawful Intercept Wiretaps​

"Cisco IOS" "ADVIPSERVICESK9_LI-M"

Prison Pay Phones​

"[2J[H Encartele Confidential"

Tesla PowerPack Charging Status​

http.title:"Tesla PowerPack System" http.component:"d3" -ga3ca4f2

Electric Vehicle Chargers​

"Server: gSOAP/2.8" "Content-Length: 583"

Maritime Satellites​

"Cobham SATCOM" OR ("Sailor" "VSAT")

Submarine Mission Control Dashboards​

title:"Slocum Fleet Mission Control"

CAREL PlantVisor Refrigeration Units​

"Server: CarelDataServer" "200 Document follows"

Nordex Wind Turbine Farms​

http.title:"Nordex Control" "Windows 2000 5.0 x86" "Jetty/3.1 (JSP 1.1; Servlet 2.2; java 1.6.0_14)"

C4 Max Commercial Vehicle GPS Trackers​

"[1m[35mWelcome on console"

DICOM Medical X-Ray Machines​

"DICOM Server Response" port:104

GaugeTech Electricity Meters​

"Server: EIG Embedded Web Server" "200 Document follows"

Siemens Industrial Automation​

"Siemens, SIMATIC" port:161

Siemens HVAC Controllers​

"Server: Microsoft-WinCE" "Content-Length: 12581"

Door / Lock Access Controllers​

"HID VertX" port:4070

Railroad Management​

"log off" "select the appropriate"

---

Remote Desktop​

Unprotected VNC​

"authentication disabled" "RFB 003.008"

Windows RDP​

99.99% are secured by a secondary Windows login screen.

"\x03\x00\x00\x0b\x06\xd0\x00\x00\x124\x00"

Network Infrastructure​

Weave Scope Dashboards​

title:"Weave Scope" http.favicon.hash:567176827

MongoDB​

"MongoDB Server Information" port:27017 -authentication

Mongo Express Web GUI​

"Set-Cookie: mongo-express=" "200 OK"

Jenkins CI​

"X-Jenkins" "Set-Cookie: JSESSIONID" http.title:"Dashboard"

Docker APIs​

"Docker Containers:" port:2375

Docker Private Registries​

"Docker-Distribution-Api-Version: registry" "200 OK" -gitlab

Pi-hole Open DNS Servers​

"dnsmasq-pi-hole" "Recursion: enabled"

Already Logged-In as root via Telnet​

"root@" port:23 -login -password -name -Session

Android Root Bridges​

"Android Debug Bridge" "Device" port:5555

Lantronix Serial-to-Ethernet Adapter Leaking Telnet Passwords​

Lantronix password port:30718 -secured

Citrix Virtual Apps​

"Citrix Applications:" port:1604

Cisco Smart Install​

Vulnerable (kind of "by design," but especially when exposed).

"smart install client active"

PBX IP Phone Gateways​

PBX "gateway console" -password port:23

Polycom Video Conferencing​

http.title:"- Polycom" "Server: lighttpd"


Telnet Configuration:
"Polycom Command Shell" -failed port:23

Bomgar Help Desk Portal​

"Server: Bomgar" "200 OK"

Intel Active Management CVE-2017-5689​

"Intel(R) Active Management Technology" port:623,664,16992,16993,16994,16995

HP iLO 4 CVE-2017-12542​

HP-ILO-4 !"HP-ILO-4/2.53" !"HP-ILO-4/2.54" !"HP-ILO-4/2.55" !"HP-ILO-4/2.60" !"HP-ILO-4/2.61" !"HP-ILO-4/2.62" !"HP-iLO-4/2.70" port:1900

Outlook Web Access:​

Exchange 2007​

"x-owa-version" "IE=EmulateIE7" "Server: Microsoft-IIS/7.0"

Exchange 2010​

"x-owa-version" "IE=EmulateIE7" http.favicon.hash:442749392

Exchange 2013 / 2016​

"X-AspNet-Version" http.title:"Outlook" -"x-owa-version"

Lync / Skype for Business​

"X-MS-Server-Fqdn"

---

Network Attached Storage (NAS)​

SMB (Samba) File Shares​

"Authentication: disabled" port:445

Specifically domain controllers:
"Authentication: disabled" NETLOGON SYSVOL -unix port:445

Concerning default network shares of QuickBooks files:
"Authentication: disabled" "Shared this folder to access QuickBooks files OverNetwork" -unix port:445

FTP Servers with Anonymous Login​

"220" "230 Login successful." port:21

Iomega / LenovoEMC NAS Drives​

"Set-Cookie: iomega=" -"manage/login.html" -http.title:"Log In"

Buffalo TeraStation NAS Drives​

Redirecting sencha port:9000

Logitech Media Servers​

"Server: Logitech Media Server" "200 OK"

Plex Media Servers​

"X-Plex-Protocol" "200 OK" port:32400

Tautulli / PlexPy Dashboards​

"CherryPy/5.1.0" "/home"

---

Webcams​

Yawcams​

"Server: yawcam" "Mime-Type: text/html"

webcamXP/webcam7​

("webcam 7" OR "webcamXP") http.component:"mootools" -401

Android IP Webcam Server​

"Server: IP Webcam Server" "200 OK"

Security DVRs​

html:"DVR_H264 ActiveX"

---

Printers & Copiers:​

HP Printers​

"Serial Number:" "Built:" "Server: HP HTTP"

Xerox Copiers/Printers​

ssl:"Xerox Generic Root"

Epson Printers​

"SERVER: EPSON_Linux UPnP" "200 OK"
"Server: EPSON-HTTP" "200 OK"

Canon Printers​

"Server: KS_HTTP" "200 OK"
"Server: CANON HTTP Server"

---

Home Devices​

Yamaha Stereos​

"Server: AV_Receiver" "HTTP/1.1 406"

Apple AirPlay Receivers​

"\x08_airplay" port:5353

Chromecasts / Smart TVs​

"Chromecast:" port:8008

Crestron Smart Home Controllers​

"Model: PYNG-HUB"

---

Random Stuff​

OctoPrint 3D Printer Controllers​

title:"OctoPrint" -title:"Login" http.favicon.hash:1307375944

Etherium Miners​

"ETH - Total speed"

Apache Directory Listings​

Substitute .pem with any extension or a filename like phpinfo.php.


http.title:"Index of /" http.html:".pem"

Misconfigured WordPress​

Exposed wp-config.php files containing database credentials.


http.html:"* The wp-config.php creation script uses this file"

Too Many Minecraft Servers​

"Minecraft Server" "protocol 340" port:25565

Literally Everything in North Korea​

net:175.45.176.0/22,210.52.109.0/24,77.94.35.0/24

TCP Quote of the Day​

port:17 product:"Windows qotd"

Find a Job Doing This!​

"X-Recruiting:"

По камерам

axis-cgi/jpg/image.cgi
/cgi-bin/guestimage.html
"/control/userimage.html"
"MOBOTIX Camera User"
title:"Robin SmartView"
Server: Viavideo-Web
title:"Camera 1"
"You need ID"
title:"Sanyo"
title:"SANYO NETWORK CAMERA"
title:"SANYO NETWORK OPTION BOARD"
title:"SANYO NETWORK VIDEO SERVER"
title:"CSP NETWORK CAMERA"
title:"DIGITAL VIDEO RECORDER CONTROL"
title:"DIGITAL VIDEO RECORDER"
title:"NETSuveillance WEB"
Server: alphapd
realm DCS -alphapd
dcs -alphapd -dcs-lig-httpd
dcs-lig-httpd
realm WCS
realm +DVR
DVR Streamer
SECOM DVR
DVRWebServer
DVR WebServer
dvr web
WebServer +DVR
NVR
server: network camera
dome camera
cube camera
security camera
Vision security system
axis
realm streaming_server
realm netcam
netcam -realm
flexwatch
IPCamera-Web
realm IPCamera
IPCamera UPnP
ADH-web
Steven+Wu
Camera Web Server -Steven
TVIP
TV-IP
PoE Camera
Boa ipcam
Boa cam
Boa camera
PLANET IP CAM
PLANET IP CAMERA
IPCamera_Logo
go1984
Vivotek
Wireless Camera
realm fcs
D-Link Camera
Internet Camera
Internet Camera -D-Link
brickcom
iPolis
Surveillance Camera
TeleEye
SQ-WEBCAM
samsung DVR
imagiatek
maygion
avigilon
onvif
MegapixelIPCamera
MiniAVServer
www-Authenticate: webcam
VideoJet
Catcher Console
IQinVision
BBVS -SecuritySpy
SecuritySpy
Powered by Nodinfo
mjpg streamer
VIDIO-STREAMER
BackStage Streamer
Android Webcam
Android dvr
DVR-Login
DVR Remote System
arecont
realm vision -arecont
yawcam
"server: jvc"
PelcoNet
VB100
server VB100
motion
logitec camera
divar
verint-webs
AccDVR
EvoCam
promelit
linux camera
linux ipcamera
linux dvr
server SafeCam
server: Milestone
title:flexwatch
title:webdvr
title:live
title:"live view"
title:"liveview"
title:"video system"
title:"camera"
title:"Axis"
title:"Video Recorder"
title:"Video Record"
title:"NVR"
#title:"DVR"
title:"DVR WebViewer"
title:"DVR Viewer"
title:"DVR Web " -title:"WEB Client"
title:"DVR WEB Client"
title:"DVR LOGIN"
title:"DVR Components Download"
title:"Web Viewer for Samsung DVR"
title:"DVR Netview"
title:"Web Client for DVR"
title:"Inspire DVR"
title:"dvr client"
title:"DVR System"
"Server: OwnServer1.0" -title:"DVR system"
title:"DVR REMOTE VIEWER"
"Server: MWS" -title:"DVR REMOTE VIEWER"
title:"DVR WebClient"
title:"DVR -- Detect Java Runtime"
title:"EverFocus"
"Server: HyNetOS" -title:"Bosch" -title:"EverFocus"
title:"DVR Applet"
title:"TOA Web DVR"
title:"Web CMS for DVR"
title:"STANDALONE DVR"
title:"Access Remote DVR"
"Server: Baby Web Server" -title:"Access Remote DVR PCBased"
title:"Video Server"
title:"DVR" -title:"DVR WebViewer" -title:"DVR Viewer" -title:"DVR Web " -title:"DVR WEB Client" -title:"DVR IE" -title:"DVR LOGIN" -title:"DVR Components Download" -title:"Web Viewer for Samsung DVR" -title:"DVR Netview" -title:"Web Client for DVR" -title:"Inspire DVR" -title:"dvr client" -title:"DVR System" -title:"DVR REMOTE VIEWER" -title:"DVR WebClient" -title:"DVR -- Detect Java Runtime" -title:"DVR Applet" -title:"TOA Web DVR" -title:"Web CMS for DVR" -title:"STANDALONE DVR" -title:"Access Remote DVR" -title:"Video Server"
#"Server: NetBox"
title:"+tm01+"
Itron
FlexiDome
starlight
Use 'live' as User Name
title:"bosch security systems"
title:"PTZ Internet Camera"
title:"WVC210"
title:"Network Video Recorder"
title:"Vilar"
title:"DCS"
title:"CAMERA Viewer"
title:"IP Camera" -title:"Viewer"
title:"Network Cube Camera"
title:"Video Surveillance System"
Lilin
ReeCam
iqhttpd
title:"Live Image"
#title:"NetCamXL Live Image"
title:"Live Images"
title:"IqEye"
title:"IqEye3"
box camera
title:"Login cgicc form"
title:"Weather Wing"
U S Software Web Server
NetBotz Appliance
"WEB Remote Viewer"
title:"Web Remote Client"
title:"Remote Monitoring System"
title:"Q-SEE"
server: Indy
title:"TOSHIBA Network Camera"
Server: NVS port:"80"
webcamXP
"Dahua Technology"
Avtech
Hikvision
GeoHttpServer
title:"DVR IE"
netwave camera

Принцип работы Shodan, на самом деле, очень прост. Он ищет и собирает баннеры. которые описывают службу, используемую на устройстве. Баннер для Shodan это основная единица информации.

Один из примеров баннера — это баннер веб-сервера т.е. заголовок.

По кодам статусов можно понять как реагирует сервер на запрос:
200 — все хорошо, запрос успешный;
300 — перенаправление на другую страницу;
400 — проблема с запросом;
500 — проблема с сервером.

После этого идет непосредственно сам заголовок. В котором содержится разнообразная техническая информация. Грубо говоря, смысл в том, что в абсолютно любом протоколе есть баннер.
А в абсолютно любом баннере есть техническая информация. Она, конечно, отличается в зависимости от протокола, но смысл, я думаю, понятен. Именно эти данные и собирает Shodan. А учитывая что, очень часто, в баннере содержится довольно много данных описывающих само устройство, это может быть очень полезно. Помимо этого Shodan также собирает метаданные устройства. Например геолокацию, операционную систему и т.д.

Поиск​

Перед тем как начинать работать с Shodan есть смысл там зарегистрироваться. Это имеет смысл хотя бы потому, что нам станет доступно больше результатов поиска, фильры и можем получить свой API ключ.

Самый простой вариант поиска — это ввести название или производителя нужного нам устройства.
Например если мы введем tp-link то справа увидим найденные устройства и их баннеры, а слева некоторые статистические данные, по которым также можно отфильтровать устройства. Также нужно помнить, что это не Google, а потому запрос для поиска обрабатывается как точное выражение, без всяких вариаций.


Только вот подобный поиск вряд ли может быть полезен из-за огромного количества результатов. Только если ты не занимаешься сбором статистики. Тут ещё нужно отметить, что по умолчанию Shodan показывает результаты собранные за последние 30 дней и ищет только по баннерам, не принимая в учет метаданные.
Чтобы эту ситуацию исправить и конкретизировать результаты поиска нужно использовать фильтры.

Фильтры​

Фильтры — это, по сути, просто конкретизация запроса. Они работают как уточнение запроса. Тут нужно учитывать, что чтобы максимально эффективно использовать Shodan нужно очень хорошо понимать: во-первых что ты хочешь найти, а во-вторых как работает нужное тебе устройство: какое программное обеспечение использует, какие у него бывают версии, какой протокол, ну и другую техническую информацию в зависимости от устройства.
Хорошая новость в том, что, скорее всего, то что ты хочешь найти, уже кто-то когда-то искал, а значит он мог поделится своей методикой поиска и где-то опубликовать запрос который дал результат.
Да и вообще для практики и тренировки неплохо будет изучить что и как люди ищут.
Для этого Shodan собирает наиболее популярные запросы: https://www.shodan.io/explore/popular?page=1

Теперь более подробно о самих фильтрах. Как видишь запрос tp-link дал нам почти полтора миллиона результатов. Это, мягко говоря, многовато. Что бы сократить количество результатов, для начала мы можем отфильтровать их по стране. Для этого используется фильтр country и, после двоеточия, без пробелов указываем код страны.

Например: tp-link country:RU покажет результаты по России. Чтобы было легче использовать этот фильтр ниже таблица с кодами стран:


По такому же принципу работают и другие фильтры. Т.е. логика их использования такая: сначала указываем сам запрос, а потом пишем фильтр и через двоеточие, без пробела, значение для фильтра. Если значение состоит из нескольких слов то его нужно взять в кавычки.

запрос фильтр:значение

Наиболее популярные фильтры Shodan:

country: — покажет данные только по выбранной стране, например country:RU
city: — покажет данные только по выбранному городу, например city:Moskow
os: — найти определенную операционную систему, например os:linux
geo: — поиск по геопозиции, нужно указать координаты, например geo:»45.0746,39.0587″
port: — покажет результаты только по выбранному порту, например port:22
hostname: — будет искать только в определенной доменной зоне, например hostname:.ru
net: — поиск в заданном сетевом диапазоне, например net:190.73.40.50/24
product: — поиск по названию программы отдающей баннер, например productpenssh

Также нужно знать, что если мы хотим убрать из выдачи результаты по какому то фильтр, то перед фильтром нужно поставить знак минус, например если написать country:UA -city:Kiev, то нам покажет все результаты поиска по Украине, без результатов по Киеву. По такому же принципу это работает и с другими фильтрами.

Примеры поиска​

Чтобы было более понятно, как все это работает давай посмотрим примеры поиска.
Давай, для примера найдем вебкамеры, в Москве, которые используют порт 8080:

webcam country:RU city:Moscow port:8080

Теперь, для разнообразия, давай найдем, например, сервера nginx, под управлением операционной системы Linux, с открытым портом 5000

nginx os:linux port:5000

Как видишь, таких серверов не мало. Полученные результаты мы можем дополнительно отфильтровать по параметрам которые мы видим в таблице слева.
А если выберем какой-то конкретный результат, то увидим развернутую информацию о нем. В том числе IP-адрес, геопозицию, страну, какие порты открыты, какие службы эти порты используют, ну и кончено баннеры этих служб.

Я думаю, с тем как формировать запросы Shodan более-менее понятно.