Mesin pencari adalah program komputer yang dirancang untuk membantu seseorang menemukan file-file yang disimpan dalam komputer, misalnya dalam sebuah server umum di web (WWW) atau dalam komputer sendiri. Mesin pencari memungkinkan kita untuk meminta content media dengan kriteria yang spesifik (biasanya yang berisi kata atau frasa yang kita tentukan) dan memperoleh daftar file yang memenuhi kriteria tersebut. Mesin pencari biasanya menggunakan indeks (yang sudah dibuat sebelumnya dan dimutakhirkan secara teratur) untuk mencari file setelah pengguna memasukkan kriteria pencarian.(http://id.wikipedia.org /wiki/Mesin_pencari)
perkenalan
mesin pencari seperti google, bing, yahoo dan yang lainya merupakan mesin pencari yang sangat baik dalam menemukan website, tapi jika kita ingin mencari sebuah komputer yang menjalankan softwere (seperti apache) atau ingin mengetahui versi IIS mana yang paling populer, atau ingin mengetahui seberapa banyak server FTP yang bisa login sebagai nonymous, atau mungkin juga ingin mengathui vulnerability yang baru dan kita ingin mengetahui seberapa banyak yang masih menggunakan jenis/tipe yang terkena vulnerability tersebut, mesin pencari standar (tradisional) tidak akan menjawab pertanyaan-pertanyaan itu.
kalo begitu apa yang di cari oleh shodan? (goog Question)
sebagian besar data yang di grab dari “banner” merupakan informasi meta-data dari server yang dikirimkan kembali ke client(seperti HTTP HEADER) informasi tersebut bisa saja mengandung inforamsi perangkat lunak server layanan pendukung, ataupun pesan berupa data yang dikirim ke client sebelum berintraksi dengan server, contohnya pesan yang menerangkan bahwa ftp server sudah siap untuk dijalankan
- Spoiler:
220 kcg.cz FTP server (Version 6.00LS) ready.
data tersebut menjelaskan kepada kita bahwa terdapat softwere ftp dengan nama “kgc.cz” dengan version “6.00″ atau lebih lengkap kita bisa melihatny dalam bentuk http header
- Spoiler:
HTTP/1.0 200 OK
Date: Tue, 16 Feb 2010 10:03:04 GMT
Server: Apache/1.3.26 (Unix) AuthMySQL/2.20 PHP/4.1.2 mod_gzip/1.3.19.1a mod_ssl/2.8.9 OpenSSL/0.9.6g
Last-Modified: Wed, 01 Jul 1998 08:51:04 GMT
ETag: “135074-61-3599f878″
Accept-Ranges: bytes
Content-Length: 97
Content-Type: text/html
dengan informasi yang didapat dari hasil grab “banner” tersebut shodan dapat menjawab pertanyaan yang tidak dijawab oleh mesain pencari lainya. shodan tidak lah jauh berbeda dari search engine yang sudah kita kenal
selama ini, hanya saja shodan mempunyai sedikit keunikan di bandingkan dengan search enggine yang lainnya. Berbeda dengan search enginee biasanya, SHODAN merupakan search engine yang memberikan informasi dari servis yang dijalankan oleh semua perangkat yang terhubung ke internet baik itu server, router atau komputer dengan IP public dll
cara kerja shodan yaitu dengan Memanfaatkan spider yang melakukan crawl terhadap halaman website untuk mengambil informasi penting dari header, melakukan scanning dan banner grabbing terhadap port-port yang
umumnya terbuka seperti SSH, telnet dan FTP pada server kemudian mengumpulkan informasi-informasi tersebut yang dapat diakses layaknya search enngine
dengan demikian shodan search engine akan menjadi mesin pencari yang memabantu dalam aksi penetrasi, Cara menggunakannya cukup gampang, cukup memasukkan kata kunci dari informasi yang ingin didapatkan.dan dapat juga difilter berdasarkan country(2 huruf kode negara), hostname(full ataupun sebagian hostname)
how to use
shodan search engine mulanya beralamat di
[You must be registered and logged in to see this link.] sekarang sudah mesin pencari ini bisa di akses di
[You must be registered and logged in to see this link.] mesin pencari yang di rilis oleh John Matherly (http://twitter.com/achillean) ini menharuskan kita untuk registrasi sebelum menggunakan mesin pencarinya, (free & berbayar)
seperti mesin pencari lainya, shodan juga menggunakan operator boolean (‘+’, ‘-’ and ‘|’) dalam melakukan pencarian secara default shodan akan memberikan operator “+” pada setiap keyword yang kita berikan,
Selain operator boolean, ada filter khusus untuk mempersempit hasil pencarian.
General
Semua filter memiliki format ‘filter: nilai ‘ dan dapat ditambahkan di mana saja dalam permintaan pencarian. Perhatikan bahwa ada ruang ada sebelum atau sesudah tanda “:.”
country
filter ‘country’ digunakan untuk mempersempit hasil pencarian berdasarkan negara. Ini berguna ketika kita ingin mencari komputer di negara-negara tertentu.
- Spoiler:
pache+country:ID -> akan mencari seluruh komputer yang ada di indonesia yang menjalankan softwere service apache
nginx+country:MY ->akan mencari seluruh komputer yang ada di malaysia yang menjalankan softwere/service ngingx
hostname
filter ‘hostname’ memungkinkan kita mencari host yang mengandung nilai dalam nama host tersebut.
apache hostname:.id
net
filter ‘net’ digunakan untuk membatasi hasil pencarian ke IP tertentu atau subnet. Menggunakan notasi
CIDR untuk menunjuk rentang subnet. Berikut adalah beberapa contoh:
216.219.143.14: net:216.219.143.14
216.219.143.*: net:216.219.143.0/24
216.219.*: net:216.219.0.0/16
216.*: apache net:216.0.0.0/8
os
‘os’ digunakan untuk mencari sistem operasi tertentu. Nilai yang umum adalah: windows, linux dan cisco.
microsoft-iis os:"windows 2003"
JBoss os:linux
port
Filter ‘port’ digunakan untuk mempersempit pencarian untuk layanan tertentu. Nilai-nilai yang
memungkinkan adalah: 21, 22, 23 dan 80.
proftpd port:21 -> mencari service proftpd pada port 21
dan masih banyak lagi filter yang bisa kita gunakan untuk mempersempit hasil perncarian kita, sama seperti halanya mesin pencari yang lain, shodan juga punya dork, untuk dork silahkan di kombinasikan antara
boolean operator dan filter untuk mempersempit hasil pencarian
contoh penggunaan
country:ID port:80 hostname:.id
query tersebut digunakan untuk memperoleh informasi dari daemon apache pada server manapun yang beralamat di Indonesia dgn hostname mengandung query .id maka akan muncul sekitar 102 IP baik itu server maupun router lengkap dengan info bannernya contoh
backbone.perumnas.co.id
ip30-222.sby.uninet.net.id
dns1.jogja.go.id
beberapa keyword menarik lainnya yang patut dicoba seperti
port:23+"list+of+built-in+commands" <- list backdoor
telnet <- servis vital
iis+4.0 <- server tua : )
lighttpd+php <- mencoba peruntungan pada bug servis lighttpd
"cisco-ios"+port:80 <- cisco web interface
beberapa dork yang bisa digunakan
- Spoiler:
“debian” ssh port:22
“Joomla” http port:80
“microsoft” telnet port:23
apache country:in port:80 hostname:.com
server country:in port:80 hostname:.com
debian country:in port:80 hostname:.com
server country:in port:21 hostname:.com
“Joomla” http port:80 hostname:.com
IIS port:80 hostname:.com
IIS 5 port:80 hostname:.com
IIS 6 port:80 hostname:.com
IIS 4 port:80 hostname:.com
tomcat port:80 hostname:.com
phpmyadmin port:80 hostname:.com
“gigaset” server port:80
server port:21
“mysql” server port:80 hostname:.com
“sqlserver” server port:1433
“sql” server port:1433
- Spoiler:
[You must be registered and logged in to see this link.] (REF:
[You must be registered and logged in to see this link.] (REF:
[You must be registered and logged in to see this link.] (REF:
[You must be registered and logged in to see this link.] (REF:
[You must be registered and logged in to see this link.] (REF:
[You must be registered and logged in to see this link.] (Thanks to:
[You must be registered and logged in to see this link.] (This does not work with PyLoris per Motoma).
[You must be registered and logged in to see this link.]
shodan juga memanjakan kita dengan merilis add on untuk firefox, bisa di diwnload di sini
[You must be registered and logged in to see this link.]So dapat dibayangkan dengan adanya SHODAN pasti akan banyak server yang bakal di compromise. bagaimana tidak, seorang attacker ga perlu lagi nyari target satu-satu bahkan serangan dapat ditujukan pada korban secara random. SHODAN tampaknya akan menjadi pilihan utama para pentester pada tahap information gathering atau pun script kiddies yang lagi iseng.
- Spoiler:
[You must be registered and logged in to see this link.]