Сегодня будет большая статья о примерах поиска в Shodan с последовательным анализом запросов, когда изучение одного результата дает данные для формирования другого. Изучать будем на примере поиска индустриального оборудования Schneider Electric.
В своем анализе будем исходить из того, что на предприятиях и организациях используется несколько видов оборудования, подключенного к сети. То есть по одному адресу мы можем найти несколько интересных устройств, а главное — новых для нас.
Поиск в Shodan по фразе «title:web+control»
Изначально я начал даже не с запроса «Schneider Electric» в Shodan, а с поисковой фразы «title:web+control» так как подумалось, что это словосочетание может дать интересные результаты:
Результаты запроса «title:web+control» в Shodan.
Первым попался результат с заголовком Schneider Electric Telecontrol — Industrial Web Control. Его за основу и возьмем.
Поиск оборудования Schneider Electric в Shodan
Вводим в строку поиска фразу Schneider Electric и анализируем результаты:
Результаты запроса «Schneider Electric» в Shodan
Берем для примера один из результатов c IP-адресом 122.155.41.226 и жмем ссылочку Details:
Детали результата запроса «Schneider Electric»
Подключаемся к промышленному VPN-роутеру eWON
Так как мы пока занимаемся наглядным изучением результатов и примеров поиска Shodan, то везде смотрим адреса, имеющие доступ по HTTP-портам и другим портам с поддержкой web-интерфейсов. В данном случае нас интересует, что подключено по порту 81.
При переходе по указанному адресу с заданным портом (клик по зеленому прямоугольничку с белой стрелочкой), получаем стандартное окно для авторизации, в котором замечаем надпись «eWon».
Поиском в Google определяем, что нас приглашает авторизоваться промышленный VPN-роутер eWON, с логином adm и паролем adm.
Промышленный VPN-роутер eWON
Так как мы нашли это устройство случайно по пустому баннеру (вернее, баннер отобразил ответ страницы 404 — видимо в момент прохождения «паука» Shodan устройство было недоступно), то попробуем определить, как Shodan его выводит в поиске. Введем в строку поиска Shodan фразу «title:ewon»:
Результаты запроса «title:ewon» в Shodan
В результатах видим баннеры со строкой Server: Apache — это обычно ответ стандартного сайта, — а между ними баннер со строкой Server: eWon. Как и предполагалось, это и есть VPN-роутер eWON, правда с несколько другим интерфейсом. Но пара логин/пароль adm/adm подошла…
В промышленном VPN-роутере eWON
Получаем, что для поиска промышленного VPN-роутера eWON в Shodan более всего подойдет фраза «Server:ewon». Смотрим ее результаты:
Результаты запроса «Server:eWON» в Shodan
Подробнее поиск VPN-роутера eWON в Shodan мы разберем как-нибудь в другой статье, а сейчас перейдем к следующему адресу из результатов запроса запроса «Schneider Electric» в Shodan:
Детали еще одного результата запроса «Schneider Electric»
Подключаемся к сетевой веб-камере Samsung iPolis
Здесь из доступных по web-интерфейсу портов видим порт 443 — защищенный по SSL аналог 80-го порта.
Переходим по ссылке и после некоторых заморочек с установкой ActiveX-приложений, определения бренда и поиска дефолтных логинов-паролей выясняем, что это сетевая камера iPolis от Samsung.
Подключаемся к ней с логином admin и паролем 4321 (default password).
Сетевая камера Samsung iPolis
На скриншоте с баннером этой камеры я выделил отличительную его особенность — строчку из html-кода «/home/monitoring.cgi». То есть если ее задать в поиск Shodan, то мы с большой долей вероятности найдем только именно камеры Samsung iPolis, попавшиеся сканеру поисковика.
Этот опыт мы проведем так же в другой статье или вы можете пока проверить эту теорию сами, а пока переходим к следующему адресу из полученного списка по запросу «Schneider Electric».
Результаты очередного запроса «Schneider Electric» в деталях
Автоматизация подстанций магистральных сетей типа «ABB RTU500»
Здесь мы видим, что на 80-м порту нам показывают баннер с неясной строкой «Server: Server».
Переходим по ссылке и с помощью Гугла выясняем, что мы попали в веб-приложение программного обеспечения автоматизации подстанций магистральных сетей типа «ABB RTU560»
Автоматизация подстанций магистральных сетей ABB RTU560
По-быстрому найти и выяснить какие данные для входа требуются, не удалось, поэтому оставляем этот вопрос для темы другой статьи и смотрим, что получаем на другом адресе.
Подключаемся к оборудованию автомойки
А другой адрес из запроса «Schneider Electric» говорит нам, что мы подключились к Vijeo Designer — программное обеспечение для конфигурирования операторских панелей.
В данном конкретном случае это оказалась панель управления автомобильной мойки с активным паролем по-умолчанию (default password) admin и логином admin
Программное обеспечение для конфигурирования операторских панелей. Автомобильная мойка
Программное обеспечение для конфигурирования операторских панелей. Управление автомобильной мойкой
Изучение и примеры поиска в Shodan автомобильных моек мы будем рассматривать более подробно в других статьях. Сейчас же смотрим на баннер следующего адреса поисковой фразы «Schneider Electric»
Детали еще одного запроса «Schneider Electric»
В баннерах данного IP-адреса мы видим, что можем подключиться как минимум к двум устройствам, доступным по портам 80 и 81.
Первым устройством оказалась страница авторизации платформы Building Operation WebStation от Schneider Electric, возможность проникновения в которую еще предстоит изучать отдельно (и, подозреваю, — упорно…).
Building Operation WebStation
А вторым — роутер TP-Link 3G/4G Wireless Lite N Router TL-MR3220, подключение к которому оказалось доступным по паролю по-умолчанию admin с логином admin.
Роутер 3G/4G Wireless Lite N Router Model No. TL-MR3220
Подключение к беспроводному шлюзу предприятий 3G AirLink LS300
Следующий изучаемый адрес оказывается доступен нам по порту 9191 (если видим под номером порта зеленый прямоугольник с белой стрелкой, значит можем посмотреть адрес через браузер).
Еще детали запроса «Schneider Electric»
Как видно, баннер его содержит строку «Server: Sierra Wireless Inc, Embedded Server», которая поможет нам как определить модель и данные для доступа к устройству, так и в дальнейшем сузить поиск в Shodan до получения адресов по конкретно этой модели.
Сведения из Гугла говорят нам, что это компактный беспроводной шлюз 3G AirLink LS300, который предназначен для сетей предприятия, промышленных и транспортных сред.
Доступ к нему получаем по активному паролю по-умолчанию (default password) 12345. Логин уже прописан на странице автоматически, но если вдруг нет, то user.
Беспроводной шлюз 3G AirLink LS300 для сетей предприятия.
Подробное его исследование также оставим для следующей статьи и перейдем к следующему, пожалуй, последнему в этом обзоре адресу из результатов поиска в Shodan по запросу «Schneider Electric»
Следующий запрос «Schneider Electric» в деталях
Данный результат направляет нас на страницу web-интерфейса Andover Continuum Embedded WebServer — среды управления энергоресурсами в зданиях.
Andover Continuum Embedded WebServer — управление энергоресурсами в зданиях
На данный момент это пока все, что я могу сказать об этом, судя по краткому анализу. Поиском логинов и паролей для доступа к Andover Continuum Embedded WebServer мы займемся позже. Или этим можете заняться вы самостоятельно и выложить результаты в комментариях.
Авторизация Andover Continuum Embedded WebServer
Итоги примеров поиска в Shodan
Итак, в этой статье я наглядно показал, как можно искать в Shodan, используя небольшой анализ и правильное чтение полученных баннеров. Как видите, один результат может неизбежно «тянуть» за собой другие. Порой вот так углубляешься в поиск и не замечаешь, как в браузере оказываются открытыми десятки страниц с результатами поиска. И все надо просмотреть, пощупать, все интересно…
Надеюсь, даже эти мои краткие примеры поиска в Shodan, натолкнут вас на хорошие идеи. Ждем интересных запросов в комментариях!
Дабы вы не тратили свое драгоценное время на регистрацию в Shodan, мы выложили готовые результаты для поиска страниц по запросу Schneider Electric в Shodan в нашем магазине.
Свежие комментарии