重庆市门户网站制作,网站开发流程管理,如何进行网络营销,珠海网站建设方案开发内容预览 ≧∀≦ゞ Shodan进阶使用之发现并解锁隐藏的脆弱资产声明导语VNC未授权访问查询被黑的网站查询思科未授权设备查询MongoDB未授权访问搜索后台管理页面结语 Shodan进阶使用之发现并解锁隐藏的脆弱资产 声明
笔记内容参考了B站UP主泷羽sec的学习视频#xff0c;如有侵… 内容预览 ≧∀≦ゞ Shodan进阶使用之发现并解锁隐藏的脆弱资产声明导语VNC未授权访问查询被黑的网站查询思科未授权设备查询MongoDB未授权访问搜索后台管理页面结语 Shodan进阶使用之发现并解锁隐藏的脆弱资产 声明
笔记内容参考了B站UP主泷羽sec的学习视频如有侵权将立即删除。 本笔记旨在促进网络安全学习任何不当使用均与作者无关请勿逾越法律红线否则后果自负。 希望这些内容能对各位师傅有所帮助欢迎您的点赞和评论 导语 ➤ 往期回顾 Shodan使用指南超详细命令介绍Shodan进阶使用之批量查找并验证漏洞 通过前面几篇文章我们了解到Shodan是一个强大的搜索引擎可以帮助安全研究人员发现互联网上暴露的设备和服务。本文将介绍如何利用Shodan搜索特定漏洞特别是未授权访问一类的漏洞如VNC服务和思科设备等带你玩转Shodan。
VNC未授权访问
VNCVirtual Network Computing是一种轻量级的远程控制软件允许用户通过网络连接并完全控制远程计算机。由于其设计特性VNC容易受到未授权访问的攻击尤其是当认证被禁用时。
要查找VNC未授权访问的设备可以使用以下Shodan命令
shodan search --limit 30 --fields ip_str authentication disabled port:5900port:5900 是VNC服务的默认端口确保只搜索开启该端口的设备。--limit 30 限制返回的结果数量为30条。
您还可以进一步细化搜索条件例如指定国家为日本
shodan search --limit 30 --fields ip_str authentication disabled port:5900 country:jp查询被黑的网站
要查找被黑客入侵的网站可以使用以下命令
shodan search http.title:hacked by此命令可以帮助您快速发现标题中包含“hacked by”的网站从而获取相关的威胁情报。 题外话给网站挂黑页并以此炫技是一种非常不负责任且幼稚的行为切勿模仿这可能会导致被追踪溯源。 类似地我们也可以查询被挂上黄网等恶意外链的网站。一些SRC可能会收取相关的威胁情报从中我们可以获取赏金。
查询思科未授权设备
思科设备的未授权访问同样是一个严重的安全隐患。使用以下命令来查找未授权的思科设备
shodan search --fields ip_str --limit 1 cisco -authorized port:23这里port:23 是思科设备的Telnet服务默认端口。需要注意的是我们使用了 -authorized 来排除已经授权的设备从而确保搜索结果仅显示那些存在未授权访问风险的设备。
搜索到的设备如仍需登录我们也可以使用弱口令进行尝试。
思科设备常见的默认账号和密码如下
账户admin/cisco密码cisco
查询MongoDB未授权访问
MongoDB是一个流行的NoSQL数据库未授权的MongoDB实例可能导致敏感数据泄露。查找未授权访问的MongoDB服务器可以使用以下命令
shodan search MongoDB Server Information -authentication搜索后台管理页面
许多应用程序和设备的管理后台可能会意外暴露于互联网上成为攻击者的目标。我们可以使用以下命令查找这些后台
shodan search --fields ip_str,port --limit 1 http.title:后台这条命令能够帮助我们快速定位到管理页面确保我们能够及时识别潜在的安全隐患。
为了增加挑战性和趣味性我们还可以专门搜索某些特定类型的管理后台例如棋牌管理系统这些后台经常容易出现弱口令。我们可以尝试以下命令
shodan search --fields ip_str,port --limit 1 http.title:棋牌管理后台此外另一种重要的搜索方法是查找标题中包含“password”的页面。这些页面可能泄露敏感信息例如用户凭证或管理入口具有极大的风险
shodan search --fields ip_str,port --limit 1 http.title:password结语
通过本文我们探讨了如何利用Shodan搜索特定漏洞尤其是未授权访问的风险帮助我们快速定位脆弱资产。记住思路决定出路真正重要的并不是手中的工具而是运用这些工具的人的智慧和策略。
最后再次感谢您阅读本篇文章。如果您对此内容有任何疑问或建议欢迎在评论区与我交流您的点赞和分享将是我继续创作的动力。
