Сбор информации с помощью Shodan Metasploit

Сбор информации с помощью Shodan Metasploit

Life-Hack [Жизнь-Взлом]/Хакинг

Сбор информации — важный фактор в тестировании на проникновение. Чем больше информации о цели вы получите, тем выше шансы проникнуть в систему. В сегодняшней инструкции мы рассмотрим сбор информации с помощью Metasploit, в частности использование Shodan в Metasploit.

Сбор информации с помощью Metasploit и Shodan

Хакерский поисковик Shodan интегрирован в Metasploit. Для использования Shodan в Metasploit Framework вам понадобится ключ API. Чтобы его получить, нужно создать бесплатную учетную запись на сайте Shodan.io.

Как только пройдете регистрацию, можно будет запускать Metasploit и начать сбор информации. Если вы новичок, рекомендую изучить основы Metasploit, для этого ознакомьтесь со статьей «Как использовать Metasploit».

Настройка Shodan с помощью Metasploit

Запустите Metasploit и установите для него модуль Shodan:

1

use auxiliarly/gather/shodan_search

Для отображения основных параметров, выполните команду:

1

info

Откройте браузер и зайдите на сайт shodan.io. В правом верхнем углу нажмите на Show API Key (Показать ключ API) и скопируйте API.

Вернитесь в Metasploit и добавьте свой ключ API.

1

set SHODAN_APIKEY [ключ API]

Использование поиска Shodan в Metasploit

Чтобы понять как работать с модулем, выполните команду:

1

show options

Для подробной информации о синтаксисе запросов Shodan, посетите официальную документацию.

Простая команда поиска выглядит следующим образом:

set QUERY webcamxp

При работе с Shodan в Metasploit с бесплатной учетной записью Shodan, невозможно применять фильтры поиска, такие как: страна или город и т.д.

Для запуска, выполните команду:

1

run

Вот пример камеры использующей учетные данные пользователя по умолчанию, найденной с помощью Shodan.


Если вы используете Shodan для профессиональной работы, я настоятельно рекомендую перейти на платный план.

Сохранение конфигурации Shodan

Если вы не хотите вводить ключ API при каждом запуске Metasploit, вот как его сохранить.

1

2

setg SHODAN_APIKEY YourAPIKey

save

Это сохранит ваш API-ключ глобально, и в следующий раз, когда вы запустите Metasploit, он будет использоваться автоматически.

Заключение

Shodan — удобный инструмент, который позволяет определить местоположение вашей цели и проверить, есть ли какие-либо устройства с доступом в Интернет. Версия PRO определенно имеет свои преимущества перед бесплатной версией.


Источник









Report Page