ShodanSafari

xdoom · 08.04.2019

Shodan достаточно удобен для поиска командных серверов ботнетов. Специально для этого создан ресурс Malware Hunter.

Методика поиска вредоносного ПО описана в отчете безопасности Recorded Future - Нейтрализация эффективности троянов удаленного доступа путем проактивной идентификации угроз (англ.)

Для поиска найденых зловредов можно запустить запрос с использованием параметра category

https://www.shodan.io/search?query=category:malware

Из интересного, в поисковой выдаче показаны наиболее часто встречающиеся зловреды, топ держит Quasar RAT и DarkComet. К слову, первый доступен в открытом виде (исходный код на GitHub)

Хороший обзор покажет визуализация в виде карты или отчета

Также, возможен поиск административных панелей серверов управления.
Пример для KPOT`а - $ shodan search http.title:"Login to KPOT admin"

alfll · 08.04.2019

Вы также можете попробовать https://www.zoomeye.org/

xdoom · 08.04.2019

alfll сказал(а):

Вы также можете попробовать https://www.zoomeye.org/

Вы также можете. ZoomEye пару раз упоминался в этой ветке. Напишите пост с интересной поисковой выдачей, сделайте мне приятно.

alfll · 08.04.2019

xdoom сказал(а):

Статья "Honeypot check" от пользователя xranitel - поиск honeypot - shodan honeyscore

Комментарий к статье "any.run" - поиск песочниц Cuckoo Sandbox - shodan search server:machete server

Из последнего, интересного, были проиндерсированы серверы Cobaltstrike Teamservers, найти можно по запросу - shodan download cobaltstriketeamservers ssl:87f2085c32b6a2cc709b365f55873e207a9caa10bffecf2fd16d3cf9d94d390c

Я не знал, что могу искать такие вещи. Спасибо, что поделился

xdoom · 09.04.2019

Поиск высокопроизводительных приёмников Глобальной навигационной спутниковой системы (GNSS) от производителя Leica.
Web-интерфейс приёмника выдает данные о точном местоположении устройства, точное время, а также альманахи спутников систем GPS, GLONASS, Galileo, Beidou

xdoom · 10.04.2019

Ищем известную уязвимость серверов Intel AMT. CVE 2017- 5689

Intel AMT — это аппаратная технология, предоставляющая удалённый и внеполосный
(по независимому вспомогательному каналу TCP/IP) доступ для управления настройками
и безопасностью компьютера независимо от состояния питания (удалённое включение/выключение компьютера)
и состояния ОС. Технология интегрирована в чипсет.
Если использовать её как антируткит для сканирования оперативной памяти и накопителей ПК, то не существует способов обойти такую защиту.
Хуже того, удалённые запросы к AMT не заносятся в системный журнал. (Хабр)

В докладе BlackHat 2017 упоминался отчет от 20170502 - Intel AMT Report.

За два года ситуация изменилась не сильно -

Для "удобства" эксплуатации уязвимости в открытом доступе есть все необходимые утилиты.

xdoom · 17.05.2019

На фоне появления "хайповой" уязвимости CVE-2019-0708 можно поискать хосты с Windows XP и открытым портом 3389

Shodan Search

Search query: Remote+Desktop+Protocol os:"Windows XP"

www.shodan.io

xdoom · 17.05.2019

Излюбленный запрос к поисковикам Shodan и ZoomEye - открытый доступ к камерам..
Увы, не все специалисты ответственно относятся к настройке серверов видеонаблюдения.

shodan search devline linia - ищем серверы видеонаблюдения Линия

xdoom · 19.05.2019

Найдена утечка конфиденциальных данных в роутерах Linksys.

Реализация утечки чувствительой информации проста:
- найдите роутер Linksys и откройте его веб-интерфейс
- откройте в браузере консоль разработчика, раздел сети
- найдите папку JNAP

Утечка информации позволяет нарушителю получить данные о MAC-адресах и именах подключенных (и подключавшихся) устройств,
их операционные системы, настройках WAN и DDNS, статус брандмауэра, а также дополнительные метаданные - тип устройства, номер модели, описание устройства.

Похожая уязвимость имеет пятилетнюю давность - CVE-2014-8244 (devices allows remote attackers to obtain
sensitive information or modify data via a JNAP action in a JNAP/ HTTP request ).
Существует утилита для реализации уязвимости JNAP-Siphon (исходный код на GitHub)

Список уязвимых моделей роутеров - https://pastebin.com/raw/ZHgWnu4C

xdoom · 29.06.2019

Shodan позволяет в реальном времени наблюдать за положением воздушных судов. Главное - найти транспондер. Найденые открытые сервисы могут стать альтернативой Flightradar

ADSB - Shodan Search

www.shodan.io

xdoom · 29.06.2019

Приложение Octoprint (сайт, код) позволяет управлять принтером через Web-интерфейс. Но, иногда владельцы забывают защитить вход паролем. В итоге: можно загрузить код в принтер в формате gcode или посмотреть видео процесса печати.

octoprint - Shodan Search

www.shodan.io

xdoom · 08.07.2019

Запрос помогает найти камеры TP-LINK, работающие без аутентификации

Shodan Search

Search query: title:"IP CAMERA Viewer" Content-Length: 703

www.shodan.io

xdoom · 08.07.2019

Поиск баннеров с telnet, свободно отдают учетные данные (подробности)

Enable and Telnet passwords are configured - Shodan Search

www.shodan.io

xdoom · 05.08.2019

Замечательная статья об об уязвимости (RCE) в механизме HP iLo

https://xss.pro/threads/30656/

Запрос - shodan search iLO-Firmware: 2.50

netcat · 06.08.2019

фильтрация результатов в веб морде : всё кроме US на данном примере.

-country:"us" port:"3389"

xdoom · 17.08.2019

Найдена уязвимость в движке администрирования Webmin. Уязвимость CVE-2019-15107 позволяет выполнить удаленный код (RCE)
Также есть PoC - https://www.exploit-db.com/exploits/47230
Ищем уязвимые веб-интерфейсы - shodan search webmin -1.920