Merhaba bu yazımda sizlere pentest (sızma testi) in keşif aşamalarında da kullandığımız arama motoru olan Shodan arama motorundan bahseceğim. Bazı örnekler yaparak hem pekiştirmiş olacağız hem de güzel bir not tutmuş olacağız.
O halde başlayalım.
Shodan.io Nedir ?
Bulunduğu ağ üzerinde istekler atıp oradaki IP adreslerine ait açık portları bize listeler. Portlar içersinde güvenlik açıkları, versiyon zafiyetleri gibi zafiyetler bulunabilir. Hacker’ların arama motoru gibi de söylenebilir. 2003 yılında John Matherly isimli bir geliştirici tarafından geliştiriliyor. İlk başta bir evcil hayvan projesi için yaptığını fakat daha sonra aldığı cevaplar karşısında 2009 yılında projeye döndürdüğünü belirtiyor.
Shodan.io içerisinde bir IP adresine giriş yaptığınızda yukarıdaki şekilde bir ekran karşılar sizi.
Kullanılan teknolojiler , açık portlar , bu IP adresinde bulunabilecek tahmini güvenlik açıklıklarını görebilirsiniz.
Not : Ücretlidir fakat edu mail adresi ile bazı indirimler ve özelliklerden yararlanabilirsiniz.
Shodan.io Nasıl Kullanılır ?
Shodan.io filtreler yardımı ile kullanılmaktadır. Size aşağıdaki link üzerinden genel filtreleri ileteceğim. Fakat daha sonra örnekler ile en sık kullanılan filtreleri anlatacağım.
port:3389 country:"DE"
3389 portu açık olan Almanya’daki IP adreslerini filtreledik bu filtremiz ile. Toplam çıkan IP sonucunu, hangi organizasyon (bizdeki Türk Telekom, Vodafone gibi) , Top 10 servisleri, hangi işletim sistemi olduğu gibi sonuçları görebilirsiniz. Şimdi biraz derine inelim ve IP adresine ait sonuçları görelim.
Örneğin bir sızma testi aşamasında IP adresini arattık ve aşağıdaki görüldüğü üzere IP adresine ait açık portların listelendiğini gördük. Sağ üstte bulunan Last Seen kısmı bu verilen en son ne zaman ait olduğunu gösteren verilerdir. 445 portu açık olduğu için bulunan Windows versiyonunda CVE-2020-0796 zafiyetine sahip olabileceğini de bize gösteriyor. Şimdi 3380 portuna erişmeyi test edelim.
Microsoft Remote Desktop uygulamamız ile IP adresine erişim sağladığımızda bize kullanıcı adı – şifre ekranını getirdi. Bu gibi işlemler ya yanlış konfigürasyonlardan yada bilinerek yapılabiliyor.
Fakat bu gibi bilinerek yapılsa bile windows gibi bir makinelerimizin içeriye VPN sonrasına erişim sağlanması en güzel yöntem olacaktır. Veya örneğin firewall üzerinde bu IP adresinin 3389 portunu açıyorsanız bile source kısmında kısıtlamalar yaparak kuralınızı yazabilirsiniz. Çünkü belirtilen zafiyetler exploit edilebilir shell alınabilir zafiyetler olabilir 🙂 Saldırganın iştihanı kabartmamız gerekiyor 🙂
port:3389 country:"DE" os:"Windows Server 2012 R2"
Almanya lokasyonunda 3389 portu açık olan “Windows Server 2012” makinelerin listelenmesine ait bir filtredir.
Örneğin MS17-010 , EternalBlue&Doublepulsar exploiti ile exploit edilebilen zafiyete ait çıktılara biraz bakalım. Bu güvenlik açığı sömürülerek, hacker’e “uzaktan kod çalıştırma” olanağı verilmiş oluyor. MS17-010 zafiyeti nedir derseniz detaylarına buradan bakabilirsiniz.
Aşağıda gördüğünüz üzere SMB v1 kalmış ve desteği olmayan Windows7 birçok makineyi shodan bize listeliyor.
port:10443 country:"TR"
Türkiye’deki 10443 portunun açık olduğu sistemleri inceleyelim. 10443 portu genelde SSLVPN için kullanılan bir port olarak bilinir. İlk dikkatimi çeken fortinet logosunun olduğu bir IP adresi oldu. Belirtilen IP adresini incelediğimde ise Fortinet SSL VPN e ait web arayüzü geldi. Bunu nasıl engelleyebiliriz derseniz eğer, Fortigate üzerinde Web mode seçeneğini kapatabilirsiniz. Veya arayüzün boş gelmesini sağlayabilirsiniz.
ssl:"Xerox Generic Root"
Xerox yazıcıların kartuş durumunu ve print durumunu aşağıdaki IP adreslerinde görebiliyorsunuz.
Kali Linux terminal üzerinde Shodan Nasıl Kullanılır ?
İlk olarak shodan üyeliğimize ait API keyini almamız gelerekiyor.
Şimdi Kali makinemize gidelim ve shodan init APIKey komutunu çalıştıralım. Bu komut sonrasında yapacağımız sorgular Shodan hesabım üzerinden yapılacaktır.
shodan init APIKEY
shodan search port:3389 county:NL
Bu çıktıyı daha düzenli şekilde almak için fields leri kullanabiliriz. IP, Port ve organizasyon şeklinde aşağıdaki komut ile alabiliriz.
shodan search --fields ip_str,port,org "port:3389" country:NL
Aşağıdaki komut ile de örneğin bir sızma testi esnasında hangi portlarının dışarıya açık olduğunu vs görebilirsiniz.
shodan host IP_adresi
Bir yanıt yazın