TDOH 2016

1. 第一次使用shodan.io就上手
Tony Lin
@TDOH Conf 2016 (12.07)

2. 自我介紹
交作業大學 電機系
業餘資安愛好者
Data Science for IoT

3. shodan.io是做什麼的?

4. 給 黑客 玩耍的大平台 / 搜尋引擎

7. 全名 Sentient Hyper-Optimized Data Access Network
2009年上線，掃描網路世界，爬取Banner

8. 搜尋所有連接到網路上的裝置
攝影機、VoIP、電冰箱、風力發電廠…

9. 用途一: 滲透測試 / 安全研究
1. Reconnaissance(偵查)
2. Scanning (掃描)
3. Gaining Access
4. Maintaining Access
5. Clearing Track
6. Reporting
自由軟體鑄造場_20121202_網路安全測試實務_翁浩正(Allen Own)

10. 用途二: 市場調查
Apache vs Nginx在日本的市佔率？
某漏洞會影響世界上多少台機器？
有多少比例的人在管理後台使用預設帳密？
在紐約有多少台FTP允許匿名登入？
…

11. 登入帳號，使用進階filter
創一個暫時的email帳號來註冊shodan
10分鐘信箱 https://10minutemail.com/

12. 在Explore可以找到一些熱門分類

13. Shodan Filters
• net: 搜尋特定IP網段
• net:140.113.0.0/16
• country: 國家代碼
• country:TW
• city: 城市
• city:Taipei
• port:
• port:3389
• os: 作業系統
• os:"Windows XP"
• hostname: 網域
• hostname:edu.tw
• org: 網路供應商(ISPs)
• org:"Taiwan Academic Network"
• product: 產品/軟體
• product:mongodb
• version: 版本
• version:2.2.22

14. 搜尋範例

15. 1. 在TANet內開遠端桌面連線的機器
port:3389 org:"Taiwan Academic Network" has_screenshot:True

16. 2.在北京開MongoDB的機器
product:MongoDB city:beijing

17. 3. 在Windows XP開Apache的機器
apache os:"Windows XP"

19. 產生Report

20. 這邊要等一、兩小時

23. 淺談SCADA系統
• 全名Supervisory Control And Data Acquisition
• 資料採集與監控系統（廢水處理場、機場捷運中控）
分散式控制系統
• Distributed Control Systems
可編程邏輯控制器
• Programmable Logic Controllers
• RTU 遠程終端控制系統
• Remote Terminal Units
• HMI 人機介面
• Human-Machine Interfaces

24. 長得大概像這樣

25. ICS (Industrial Control System)
~=
SCADA (Supervisory Control And Data Acquisition)
~=
DCS (Distributed Control System)

26. 風力發電機
title:"xzeres wind"

28. 法國施耐德電機
Schneider port:"80"

29. 居然只能用IE開，這樣要我們怎麼教小孩？

30. 一、丟廠商英文名字去找
Schneider / Siemens / Advantech
二、先把預設帳密試一輪
https://github.com/scadastrangelove/SCADAPASS

31. 介紹Google Hacking
https://www.exploit-db.com/google-hacking-database/

32. 透過Google搜尋引擎
搜尋各種敏感資訊 / 錯誤頁面 / 潛在弱點
https://pentest-tools.com/information-gathering/google-hacking#

33. Google Hacking 常用 Operators
• site: 搜尋特定Domain / IP
• site:140.113.*.*
• filetype/ext: 特定檔案格式
• ext:doc | ext:docx | ext:ppt | ext:pdf
• Intitle: 標題含有特定字串
• intitle:index.of
• Intext: 文本含有特定內容
• intext:"sql syntax near"
• - 去除不想看到的內容
• -mirror
https://www.sans.org/security-resources/GoogleCheatSheet.pdf

34. Directory listing vulnerabilities

35. Publicly exposed documents

36. Shodan vs Google
https://www.exploit-db.com/docs/33859.pdf

37. 更多Shodan？

39. Map & Image

40. Exploits

41. CLI
> pip install shodan
> shodan init <API Key>
> shodan count microsoft iis 6.0
> shodan download ms-data microsoft iis 6.0
> shodan parse --fields ip_str,port,org --separator , ms-
data.json.gz
https://github.com/achillean/shodan-python

43. Chrome & Firefox Plugin
速度太慢，不是很推

44. Maltego Add-On
https://maltego.shodan.io/

46. 營利模式
Export Credit： $5 / 10,000 results
一次買斷會員：$49
黑色星期五特價 $5
開發者API Plan：$19 / 月
ScanHub： $9 / 月

47. Shodan最近太不穩了
請容許我以圖片DEMO…

48. 1. J牌攝影機
搜尋到的裝置：41k
預設帳密 admin / <blank>
Bypass login
內建Shell

51. 2. A牌攝影機
搜尋到的裝置：155k+
預設帳密：admin/admin
約有60%的裝置採用預設帳密 (59/100)
透過curl把config檔打包帶回家
curl --cookie 'Cookie:SSID=YWRtaW46YWRtaW4=' -o system.txt http://<IP>/cgi-
bin/supervisor/System.cgi?action=download&filename=System.bin
https://gist.github.com/tnlin/24916131d0038a91cbafa021ec936d16

52. 3. RTSP (H牌攝影機)
rtsp://<IP>/<Path>

53. Thank You