Shodan是搜索引擎，与谷歌不同的是，Shodan不是在网上搜索网址，而是直接进入互联网的背后通道。Shodan可以说是一款“黑暗”谷歌，一刻不停的寻找所有和互联网关联的服务器，摄像头，打印机，路由器。

工作原理

shodan搜索引擎可以可以扫描互联网和解析各种设备，通过对返回的标识banners及其他信息的分类处理，shodan计算机搜索引擎就可以确定哪一些数据库和版本是最流行的，一个特定的位置有多少个网络摄像头，以及这些设备的制造商和型号，或是网络中到底存在多少可匿名登录的FTP服务器等。

功能

• 批量搜索现有漏洞主机

• 统计感染某木马的主机数量

• 批量扫描登录入口，并使用弱口令字典进行爆破

• 批量抓取shell

语法

基础语法

• 多个条件可用 ANDORNOT 组合，如 apache AND country:US。

• 含空格的值需加引号，如 os:"CentOS"。

参数列表

网络与主机

• hostname：按主机名/域名搜索

hostname:baidu

hostname:"example.com"

• ip：按特定 IP 搜索

ip:168.205.71.64

• port：按端口或服务搜索

port:80

port:ssh

• net：按 IP 或子网（CIDR）搜索

net:210.45.240.0/24

• asn：按自治系统编号（ASN）搜索

asn:AS2233

地理位置

• country：按国家代码（2字母）搜索

country:US（美国）

country:CN（中国）

• city：按城市名搜索

city:Chengdu

• geo：按经纬度搜索（格式纬度,经度）

geo:"31.8639,117.2808"（安徽合肥附近）

组织与供应商

• org：按所属组织/公司搜索

org:"Google"

• isp：按网络服务提供商（ISP）搜索

isp:"China Telecom"

设备信息

• os：按操作系统搜索（支持模糊匹配）

os:"CentOS"

• product：按软件/平台/设备类型搜索

product:"Apache httpd"

• version：按软件版本搜索

version:"1.6.2"

漏洞与风险

• vuln：按 CVE 编号搜索漏洞

vuln:CVE-2015-8869

时间范围

• beforeafter：按数据收录时间筛选（格式dd-mm-yy）

before:"11-11-15"（2015年11月11日前）

after:"01-01-20"（2020年1月1日后）

示例组合查询

1. 搜索美国境内 Apache 服务器的 SSH 端口：

product:"Apache httpd" port:22 country:US

2. 搜索中国电信提供的 CentOS 设备：

os:"CentOS" isp:"China Telecom"

3. 搜索 2020 年后收录的某 IP 子网设备：

net:210.45.240.0/24 after:"01-01-20"