[CTI] Shodan

Introduction 

 Shodan est un moteur de recherche permettant de trouver des machines exposées sur Internet avec des filtres. 

 

 Manuel 

 Vous pouvez accéder à l'interface de Shodan : 

 

 https://www.shodan.io/dashboard 

 

 Usage 

 <FILTER>:<VALUE> 

 Filtres 

 Voici quelques filtres courants : 

 

 

 

 Filtres 

 

 

 ip 

 

 

 port 

 

 

 org 

 

 

 country 

 

 

 city 

 

 

 product 

 

 

 version 

 

 

 os 

 

 

 

 Sinon voici la liste complète des filtres : 

 

 https://www.shodan.io/search/filters 

 

 Exemples 

 

 Chercher des informations sur une IP spécifique : 

 

 ip:8.8.8.8 

 Chercher toutes les machines françaises de l'hébergeur Scaleway : 

 country:FR org:scaleway 

 Chercher toutes les machines Ubuntu ayant un service SSH : 

 os:ubuntu port:22 

 Vous pouvez retrouver plus d'exemples : 

 

 https://www.shodan.io/search/examples 

 https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanQueriesAppliances.csv 

 

 Analyse 

 Vous pouvez analyser les résultats rapidement grâce à la section View Report : 

 

 On voir les ports les plus exposés, les services les plus utilisés, les hébergeurs les plus utilisés pour ces machines etc : 

 

 Vous pouvez aussi consulter les statistiques pour cette query dans le temps grâce à l'onglet Historical Trends : 

 

 

 Tracking de serveurs C2 

 Certains filtres ont été mis en place pour chercher des serveurs de commande et contrôle (C2) : 

 

 https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md 

 

 

 

 

 Serveurs C2 

 Filtres 

 

 

 

   

 Metasploit 

 

 

 http.favicon.hash:-12788697  

 ssl:MetasploitSelfSignedCA 

 http.html:"msf4" 

 

 

 

 

   

   

 Cobalt Strike 

 

 

 ssl.jarm:07d14d16d21d21d07c42d41d00041d24a458a375eef0c576d23a7bab9a9fb1 

 port:443 

 ssl.cert.serial:146473198 

 product:"Cobalt Strike Beacon" 

 http.html:"cs4.4" 

 

 

 

 Brute Ratel 

 

 http.html_hash:-1957161625 

 product:"Brute Ratel C4" 

 

 

 

 

 Vous pouvez aussi retrouver des JARM de C2 qui sont des empreintes des certificats par défaut : 

 

 https://github.com/BushidoUK/OSINT-SearchOperators/blob/main/ShodanAdversaryInfa.md 

 

 API 

 Pour utiliser l'API, il vous faut payer (une version premium à 69$ payable en une seule fois vous autorise à 100 queries par mois). 

 Une fois votré clé API récupérée, vous pouvez initialiser shodan : 

 shodan init <API_KEY> 

 Pour faire une recherche : 

 shodan search "<QUERY>" 

 Pour trouver des informations sur une IP : 

 shodan host <IP> 

 Pour télécharger les résultats d'une recherche au format JSON : 

 shodan download <OUTPUT>.json "<QUERY>" 

 Pour consulter les résultats : 

 shodan parse <OUTPUT>.json 

 Ou alors : 

 cat <OUTPUT>.json | jq