쇼단(shodan) 을 이용한 모의해킹 및 정보수집

※ 주의 : 본 포스팅의 내용을 악용할 시 법적 문제를 야기할 수 있으므로, 반드시 법적 테두리 안에서 허용되는 경우에만 사용하시기 바랍니다.

 

쇼단(Shodan)이란?

쇼단을 정의하자면 “웹 검색 엔진”에 가깝다고 할 수 있다.
라우터, 스위치, FTP, 특정 웹 서버(Apache, IIS 등)에 대한 정보를 수집하고 그 결과를 보여준다.

 

자세한 쇼단에 대한 설명 : https://help.shodan.io/the-basics/what-is-shodan

 

쇼단을 사용하는 이유..?

 

1. 진단용, 취약점 진단용으로 외부사이트에 의한 시스템 운영정보 노출 여부에 대한 판단을 한다.

2. 웹캠, 캠, CCTV, IoT 기기 접속 용도 ( 허가되지않은 기기에 대한 접근은 처벌을 받을 수 있습니다.)

 

 

 

사이트 접속 시 위와 같은 웹 페이지를 확인 할 수 있다.

 

사용을 위해서는 회원가입이 필요한데

 

유료/무료로 가입이 가능하며, 무료 회원에 경우 결과에 대한 조회에 제한을 가지고 있다.

(현 테스트 시점에는 2페이지 이상 조회가 안되는것을 확인)

 

 

회원가입을 간단하니 진행하면 될 것 같고..

 

 

검색하고자 하는 내용을 Search Form에 입력하면 결과를 도출해 낸다

 

"net"  option을 사용한 검색 결과는 위와 같다. 해당 IP에 대한 상세정보들을 확인 가능하다.

사용가능한 option은 하단에서 다시 설명한다.

 

 

그냥 IP를 입력했을 때 결과는 위와 같이 노출한다. 

 

IP검색을 통해 사용하는 port를 알아낸뒤 "port" option과 "net" option을 동시에 사용한 결과는 위와 같다.

 

# 개인경험 : 최근 진단했던 기관 중 하나는 타 업체에서 외부사이트에 의한 시스템 운영정보 노출 여부 항목으로 Shodan 검색결과에 대한 내용을 받을 바있다. 근데 이놈들이 검색을 특정 IP로하는게 아니라 대역대로 검색을 하는 바람에 진단 대상이었던 서비스가 아닌 타 서비스 혹은 사용하고 있는 웹 서비스가 아닌부분에 대해서도 검색을 해서 결과를 주는 바람에 결국에는 쇼단을 막아버렸다.

Shodan 검색 사용법

 

city	검색 결과를 주어진 도시내로 한정하여 보여준다. (ex. apache city:”Zürich”)
country	검색 결과를 주어진 국가내로 한정하여 보여준다. (ex. nginx country:DE)
geo	특정 위도/경도 정보를 참고후, 근처에 있는 검색 결과를 보여준다. (ex. apache geo:42.9693,-74.1224)
hostname	검색 결과에서 주어진 호스트 네임과 매칭 되는 결과를 보여준다. (ex. “Server: gws” hostname:google)
net	특정 Class에 한정하여 검색 결과를 보여준다 (ex.net:216.219.143.0/24)
os	특정 OS에 대한 검색 결과를 보여준다. (ex. microsoft-iis os:”windows 2003″)
port	특정 포트에 대한 검색 결과를 보여준다. (ex.proftpd port:21)
before/after	특정 날짜 전/후에 대한 검색 결과를 보여준다. (ex. nginx before:18/01/2010)

 

 

Webcam에대한 검색은... 민감하기에 그냥.. 검색 키워드 정도만 적어놓는걸로 하겠다..

 

1. "webcam county:KR"

2. "webcam county:KR product:"webcam 7 httpd"

3. "apache county:KR city:"Seoul" 등등

 

여러 단어를 조합해서 다양한 결과를 도출할 수 있다.

 

여기서 중요한 점은 기본적인 ID/PW를 사용하고 있는 곳이 있다는 건데

뭐 아무리 그들이 설정을 하지않았다고 하더라도 그걸 보는 것 자체가 불법임을 명시하도록 한다.

 

각 장비별 기본 ID/PW들도 인터넷에 떠도는 것같으니...

궁굼하신분은 찾아보도록 하시길..ㅎㅎ

 

 

감사합니다.