Shodan Nedir? Dorklarla Shodan Kullanımı | Siber Tehdit İstihbaratı
Shodan kullanımı sanıldığı kadar zor olmamakla beraber siber tehdit istihbaratı çalışmalarında sıklıkla kullanılan bir arama motorudur. Shodan’ı efektif bir şekilde kullanabilmek için ugulanabilecek birkaç teknik bulunmaktadır…
Shodan Nedir? (Shodan.io)
Shodan (Sentient Hyper-Optimized Data Access Network), Google gibi bir arama motorudur. Peki, Shodan.io ve Google arasındaki fark nedir? Google websitelerini indexleyip listelerken Shodan, Google’dan farklı olarak IoT cihazlarını indexleyip listelemekte ve sistemde ayakta olan servisler hakkında bilgiler sunmaktadır. Shodan’da erişebileceğiniz cihazların listesi şu şekildedir:
- Sunucular
- Yazıcılar
- Webcam’lar
- Trafik Işıkları
- Güvenlik Kameraları
- Kontrol Sistemleri
Shodan Nasıl Çalışır?
Shodan, internette birbirine bağlı IoT cihazlarını listeleyen ilk arama motorudur. Arkasında yatan algoritma ise şu şekildedir:
- Rastgele IPv4 adresleri oluştur.
- Anlık olarak online cihazları topla.
- Desteklenen portları/bağlantı noktalarını sorgula.
- Sorgulanan porttaki IPv4 adresini kontrol et.
- Aramalarda cihazı listele.
- Başa dön.
Shodan Hangi Bilgileri Sunar? Shodan ile Neler Bulunabilir?
Shodan IoT cihazlarının lokasyon bilgisini, varsayılan kullanıcı adı ve parola bilgilerini, yazılım versyinolarını, marka ve model bilgielrini listeler. Aynı zamanda 554 (Real Time Streaming Protocol), 5060 (SIP) , 25 (SMTP) , 161 (SNMP), 23(Telnet) , 993 (IMAP) , 22 (SSH), 21 (FTP) ,8443,443 ve 80 (HTTP/HTTPS) portlarını taramaktadır.
Gelişmiş Shodan Kullanımı – En İyi Shodan Dorkları
Shodan’ın ne olduğuna ve kısaca nasıl çalıştığına yukarıda değinmiştik. Sırada bu arama motorunun nimetlerinden yararlanmak var. Shodan da Google gibi bir arama motoru olduğu için sorgularımızı daha gelişmiş hale getirebilmek ve API entegrasyonu sağlayabilmek için dorklardan yararlanabiliyoruz. Bilgi toplama çalışmaları sırasında işimizi çok kolaylaştıran Shodan dorklarına değinelim…
Shodan Kullanımında Ülke Bazlı Arama (Country Dorku)
Country dorku kendisinden sonra belirtilen ülkeye göre sonuçları filtreler.
country:"TR" sorgu
Shodan Kullanımında Şehir Bazlı Arama Nasıl Yapılır? (City Dorku)
City dorku kendisinden sonra belirtilen şehire göre sonuçları filtreler.
city:"Istanbul"
Hostname Bilgisine Göre Arama Nasıl Yapılır? (Hostname Dorku)
Shodan kullanımı sırasında hostname dorku, kendisinden sonra gelen hostname bilgisine sahip olan sonuçlara göre filtreleme yapılır.
hostname:"google"
Subnet Bilgisine Göre Arama Nasıl Yapılır? (Net Dorku)
“net” dorku ile subnet aralığında yer alan IP adreslerine göre arama sonuçları filtrelenebilmektedir.
net:81.201.12.0/24
İşletim Sistemine Göre Arama Nasıl Yapılır? (OS Dorku)
os:"linux"
Açık Portlara Göre Sorgu Nasıl Yapılır? (Port Dorku)
Aşağıdaki kullanım ile proftpd sorgusu için sadece 21. portu açık olan sonuçlar listelenmektedir.
proftpd port:21
Favicon Hash Bilgisi ile İlişkili Domainleri Sorgulama (Http.favicon.hash Dorku)
Hedef websitenin favicon hash değeri hesaplandıktan sonra aynı favicon hash değerine sahip diğer domainlerin tespiti için shodan kullanılabilir. Hedef websitenin favicon hash domainini hesaplamak için aşağıdaki komutu kullanabilirsiniz. (pip ile mmh3’ü kurmayı unutmayın)
curl -s -L -k https://www.hedef.com/favicon.ico | python3 -c 'import mmh3,sys,codecs; print(mmh3.hash(codecs.encode(sys.stdin.buffer.read(),"base64")))'
Ardından shodanda aşağıdaki sorguyu gerçekleştirip ilişkili diğer domainleri tespit edebilirsiniz.
http.favicon.hash:hash_degeri
WordPress Konfigürasyonu Yapılmamış Websiteleri için Shodan Kullanımı
Aşağıdaki dork ile konfigüre edilmemiş; kullanıcı adı, veritabanı bilgileri ve parola gibi bilgileri açığa çıkartan websitelerini tespit edebilirsiniz.
http.html:"* The wp-config.php creation script uses this file"
Shodan kullanımı temel olarak yukarıda bahsedildiği şekilde olup kullanabileceğiniz çok daha fazla dork bulunmaktadır. Detaylı bilgi için aşağıdaki adresleri ziyaret edebilirsiniz.
https://github.com/humblelad/Shodan-Dorks
https://github.com/jakejarvis/awesome-shodan-queries
Uzun süre Blogger’de acaaba.com adresinde yazılar yazdım. Genel olarak teknoloji, sanat ve psikoloji üzerine bir internet sitesi. Yaklaşık 3 yıldır aralıklı olarak siber güvenlik ile ilgilendim, 2 yıldır da profesyonel olarak bu alanda çeşitli çalışmalar yapmaktayım.