【超详细 | 钟馗之眼】ZoomEye-python命令行的使用

Original 渗透Xiao白帽渗透Xiao白帽 2022-11-05

0x00 前言

ZoomEye-python是一款基于 ZoomEye API 开发的 Python 库，提供了 ZoomEye 命令行模式，同时也可以作为 SDK集成到其他工具中。该库可以让技术人员更便捷地搜索、筛选、导出ZoomEye 的数据。

这里说一下ico图标搜索，因为我平时会经常用所以···

每个网站标签都有自己的ico图标

在对指定目标收集资产外围打点的时候这个会是一个很有用的点

通过搜索网站ico也会有意想不到的收获

重点是不需要高级账号也能查询

渗透的本质就是信息收集

在实战中你资产收集的多少决定你攻击面的大小

多了不说你细品接下来介绍一下命令行版本的ZoomEye搜索引擎

0x01 安装步骤

可直接从 pypi进行安装：

pip3 install zoomeye

也可以通过github 进行安装：

pip3 install git+https://github.com/knownsec/ZoomEye-python.git

0x02 使用cli

在成功安装ZoomEye-python 后，可以直接使用 zoomeye 命令，如下：

$ zoomeye-h

usage: zoomeye [-h] [-v] {info,search,init,ip,history,clear} ...positionalarguments: {info,search,init,ip,history,clear} info Show ZoomEye account info search Search the ZoomEyedatabase init Initialize the token forZoomEye-python ip Query IPinformation history Query device history clear Manually clear the cache anduser informationoptionalarguments: -h, --help show this help message andexit -v, --version show program's version number and exit

1.初始化token

在使用ZoomEye-python cli 前需要先初始化用户 token，该凭证用于验证用户身份以便从 ZoomEye 查询数据；我们提供了两种认证方式：

1.username/password2.APIKEY (推荐)

可以通过zoomeye init -h 查看帮助，通过 APIKEY 来进行演示：

$ zoomeye init -apikey "01234567-acbd-00000-1111-22222222222"successfully initializedRole: developerQuota: 10000

可以通过登陆ZoomEye在个人信息中(https://www.zoomeye.org/profile)获取 APIKEY；APIKEY 不会过期，用户可根据需求在个人信息中进行重置。

除此之外，还提供了username/password 的初始化方式，通过这种方式认证后会返回 JWT-token，具有一定的时效性，失效后需要用户重新登陆。

2.查询配额

用户可以通过info 命令查询个人信息以及数据配额，如下：

$ zoomeye infoRole: developerQuota: 10000

3.搜索

搜索是ZoomEye-python 最核心的功能，通过 search 命令进行使用。search 命令需要指定搜索关键词(dork)，下面我们进行简单的搜索：

$ zoomeye search "telnet" -num 1ip:port service country app banner 222.*.*.*:23 telnet Japan Pocket CMD telnetd \xff\xfb\x01\xff\xfb\x03\xff\x...total:1/58277850

使用 search命令和使用浏览器在 ZoomEye 进行搜索一样简单，在默认情况下显示了较为重要的 5 个字段，可以使用这些数据了解目标信息：

1.ip:port ip地址和端口2.service 该端口开放的服务3.country 该ip地址所属国家4.app 识别出的应用类型5.banner 该端口的特征响应报文

在以上，使用-num参数指定了显示的数量，除此之外，search还支持以下参数(zoomeye search-h)，以便用户对数据进行处理，我们将在下文进行说明和演示：

-num 设置显示/搜索的数量，支持 all-count 查询该 dork 在 ZoomEye数据库的总量-facet 查询该 dork 全量数据的分布情况-stat 统计数据结果集的分布情况-filter 查询数据结果集中某个字段的详情，或根据内容进行筛选-save 可按照筛选条件将结果集进行导出-force 忽略本地缓存文件，直接从 ZoomEye获取数据-type 指定搜索源，host 或 web

4.数据数量

通过-num参数可以指定我们搜索和显示的数量，指定的数目即消耗的配额数量。而通过 -count 参数可以查询该 dork 在 ZoomEye 数据库的总量，如下：

$ zoomeye search "telnet" -count56903258

需要注意一点，-num 参数消耗的配额为 20 的整数倍，这是因为 ZoomEye API 单次查询的最小数量为 20条。

5.数据聚合

我们可以通过-facet 和 -stat 进行数据的聚合统计，使用 -facet 可以查询该 dork 全量数据的聚合情况(由 ZoomEye 聚合统计后通过 API获取)，而 -stat 可以对查询到的结果集进行聚合统计。两个命令支持的聚合字段包括：

# hostsearch app 按应用类型进行统计device 按设备类型进行统计service 按照服务类型进行统计os 按照操作系统类型进行统计port 按照端口进行统计country 按照国家进行统计city 按照城市进行统计# websearchwebapp 按照 Web应用进行统计component 按照 Web容器进行统计framework 按照 Web 框架进行统计server 按照 Web 服务器进行统计waf 按照 Web防火墙(WAF)进行统计os 按照操作系统进行统计country 按照国家进行统计

使用 -facet统计全量 telnet 设备的应用类型：

$ zoomeyesearch "telnet" -facet appapp count[unknown] 28317914BusyBox telnetd 10176313Linux telnetd 3054856Cisco IOS telnetd 1505802Huawei Home Gateway telnetd 1229112MikroTik router config httpd 1066947Huawei telnetd 965378Busybox telnetd 962470Netgear broadband router... 593346NASLite-SMB/Sveasoft Alc... 491957

使用 -stat统计查询出来的 20 条 telnet 设备的应用类型：

$ zoomeyesearch "telnet" -stat appapp count Cisco IOS telnetd 7[unknown] 5BusyBox telnetd 4Linux telnetd 3Pocket CMD telnetd 1

6.数据筛选

使用 -filter参数可以查询数据结果集中某个字段的详情，或根据内容进行筛选，该命令支持的字段包括：

#host/searchapp 显示应用类型详情version 显示版本信息详情device 显示设备类型详情port 显示端口信息详情city 显示城市详情country 显示国家详情asn 显示as number详情banner 显示特征响应报文详情timestamp 显示数据更新时间* 在包含该符号时，显示所有字段详情#web/searchapp 显示应用类型详情headers HTTP 头keywords meta 属性关键词title HTTP Title标题信息site site 搜索city 显示城市详情country 显示国家详情webapp Web 应用component Web 容器framework Web 框架server Web 服务waf Web 防火墙(WAF)os 操作系统timestamp 显示数据更新时间* 在包含该符号时，显示所有字段详情

相比较默认情况下的省略显示，所以通过-filter 可以查看完整的数据，如下：

λ zoomeye search "telnet" -num 1 -filter serviceip service179.1.1.26 http

total: 1

使用 -filter进行筛选时，语法为：key1,key2,key3=value，其中 key3=value 为筛选条件，而展示的内容为 key1,key2 例：

$ zoomeye search telnet -num 1 -filter port,app,banner=Telnetip port app 240e:*:*:*::3 23 LANDesk remotemanagement total: 1

在上面的示例中：banner=Telnet为筛选的条件，而 port,app 为展示的内容。如果需要展示 banner，筛选语句则是这样

$ zoomeye search telnet -num 1 -filter port,app,banner,banner=Telnet

7.数据导出

-save参数可以对数据进行导出，该参数的语法和 -filter 一样，并将结果按行 json 的格式保存到文件中，如下：

$ zoomeye search "telnet" -save banner=telnetsave file to telnet_1_1610446755.json successful!$ cattelnet_1_1610446755.json

{'ip': '218.223.21.91', 'banner': '\\xff\\xfb\\x01\\xff\\xfb\\x03\\xff\\xfd\\x03TELNETsession now in ESTABLISHED state\\r\\n\\r\\n'}

如果使用 -save 但不带任何参数，则会将查询结果按照 ZoomEye API 的 json格式保存成文件，这种方式一般用于在保留元数据的情况下进行整合数据；该文件可以作为输入通过 cli 再次解析处理，如 zoomeye search"xxxxx.json"。

8. 数据图像化

-figure参数为数据图像化参数，该参数提供了 pie(饼图) 和 hist(柱状图) 两种展示方式，在没有进行指定依旧显示数据，在指定 -figure时，只会显示图形。饼图如下：

柱状图如下：

注意：仅能在 -facet 和 -stat 数据聚合的情况使用。

9. IP 历史数据查看

ZoomEye-python提供了 IP 历史设备数据查询功能，使用命令 history [ip] 便能查询 IP 设备历史数据，使用方式如下：

$ zoomeye history "207.xx.xx.13" -num 1207.xx.xx.13Hostnames: [unknown]Country: UnitedStatesCity: LakeCharlesOrganization: fulair.comLastupdated: 2021-02-18T03:44:06Number of open ports: 1Number of historical probes: 1timestamp port/service app raw_data 2021-02-18 03:44:06 80/http Apache httpd HTTP/1.0 301 MovedPermanently...

在默认情况下展示的是这几个字段：

1.time 记录的时间2. service 开放的服务3. port 端口4. app Web 应用5. banner 原始的指纹信息

使用 zoomeye history -h 可以查看 history 提供的参数。

$zoomeye history -husage:zoomeye history [-h] [-filter filed=regexp] [-force] ippositionalarguments: ip search historical device IPoptionalarguments: -h, --help show this help message andexit -filter filed=regexp filter data and print raw data detail.field: [time,port,service,app,raw] -force ignore the local cache andforce the data to be obtained from theAPI

下面对-filter 进行演示：

$ zoomeye history "207.xx.xx.13" -filter"time=^2019-08,port,service"207.xx.xx.13Hostnames: [unknown]Country: UnitedStatesCity: LakeCharlesOrganization: fulair.comLastupdated: 2019-08-16T10:53:46Number of open ports: 3Number of historical probes: 3time port service 2019-08-16 10:53:46 389 ldap 2019-08-08 23:32:30 22 ssh 2019-08-03 01:55:59 80 http

-filter参数支持以下几个字段的筛选：

1.time 扫描时间2.port 端口信息3.service 开放的服务4.app Web 应用5.raw 原始指纹信息6.* 在包含该符号时，显示所有字段详情

在展示时添加了一个id 字段的展示，id 为序号，为了方便查看，并不能作为筛选的字段。

注意：目前只开放了上述几个字段的筛选。使用 history 命令时同样会消耗用户配额，在 history命令中返回多少条数据，用户配额就相应扣除多少。例如：IP "8.8.8.8" 共有 944 条历史记录，查询一次扣除 944 的用户配额。

10.查询 IP 信息

可以通过zoomeye ip 命令查询指定 IP 的信息，例如：

$ zoomeye ip 185.*.*.57185.*.*.57Hostnames: [unknown]Isp: [unknown]Country: SaudiArabiaCity: [unknown]Organization: [unknown]Lastupdated: 2021-03-02T11:14:33Number of open ports: 4{2002,9002, 123, 25}port service app banner 9002 telnet \xff\xfb\x01\xff\xfb\x0... 123 ntp ntpd \x16\x82\x00\x01\x05\x0... 2002 telnet Pocket CMD telnetd \xff\xfb\x01\xff\xfb\x0... 25 smtp Cisco IOS NetWor... 220 10.1.10.2 Cisco Net...

zoomeye ip命令同样支持筛选参数 -filter, 语法和 zoomeye search 的筛选语法一致。例如：

$ zoomeye ip "185.*.*.57" -filter "app,app=ntpd"Hostnames: [unknown]Isp: [unknown]Country: SaudiArabiaCity: [unknown]Organization: [unknown]Lastupdated: 2021-02-17T02:15:06Number of open ports: 0Number of historical probes: 1app ntpd

filter参数支持的字段有:

port 端口信息 service 运行服务 app 应用 banner 指纹信息注意：此功能根据不同用户等级，对每个用户每天查询次数做了一定的限制。注册用户和开发者每天能够查询 10 次高级用户每天可查询 20 次VIP 用户每天可以查询 30 次

每天的次数使用完之后，24小时后刷新，即从第一次查 IP 的时间开始计算，24小时后刷新次数。

11.清理功能

用户每天都会搜索大量的数据，这样就导致缓存文件夹所占的存储空间逐渐增大；如果用户在公共服务器上使用ZoomEye-python 可能会导致自己的 API KEY 和 ACCESS TOKEN 泄漏。为此 ZoomEye-python 提供了清理命令zoomeye clear，清理命令可以缓存数据和用户配置进行清空。使用方式如下：

$zoomeyeclear -husage: zoomeye clear [-h] [-setting] [-cache]optionalarguments: -h, --help show this help message and exit -setting clear user api key and accesstoken -cache clear local cache file

12.缓存机制

ZoomEye-python在 cli 模式下提供了缓存机制，位于 ~/.config/zoomeye/cache 下，尽可能的节约用户配额；用户查询过的数据集将在本地缓存 5天，当用户查询相同的数据集时，不会消耗配额。

0x03 演示视频

在 Windows、Mac、Linux、FreeBSD 演示视频

https://weibo.com/tv/show/1034:4597603044884556?from=old_pc_videoshow

0x04 使用SDK

1.初始化token

同样，在 SDK中也支持 username/password 和 APIKEY 两种认证方式，如下：

1.user/pass

from zoomeye.sdk import ZoomEyezm =ZoomEye(username="username", password="password")

2.APIKEY

from zoomeye.sdk import ZoomEyezm =ZoomEye(api_key="01234567-acbd-00000-1111-22222222222")

2.SDK API

以下是 SDK提供的接口以及说明：

1.login() 使用 username/password 或者 APIKEY进行认证2.dork_search(dork, page=0, resource="host", facets=None) 根据 dork搜索指定页的数据3.multi_page_search(dork, page=1, resource="host",facets=None) 根据 dork搜索多页数据4.resources_info() 获取当前用户的信息5.show_count() 获取当前 dork下全部匹配结果的数量6.dork_filter(keys) 从搜索结果中提取指定字段的数据7.get_facet() 从搜索结果中获取全量数据的聚合结果8.history_ip(ip) 查询某个 ip的历史数据信息9.show_site_ip(data) 遍历 web-search结果集，并输出域名和ip地址10.show_ip_port(data) 遍历 host-search 结果集，并输出ip地址和端口

3.使用示例

$ python3>>> import zoomeye.sdk as zoomeye>>> dir(zoomeye)['ZoomEye', 'ZoomEyeDict', '__builtins__', '__cached__','__doc__','__file__', '__loader__', '__name__', '__package__','__spec__','fields_tables_host', 'fields_tables_web', 'getpass','requests','show_ip_port', 'show_site_ip', 'zoomeye_api_test']>>> # Use username and password to login>>> zm = zoomeye.ZoomEye()>>> zm.username = 'username@zoomeye.org'>>> zm.password = 'password'>>>print(zm.login())....JIUzI1NiIsInR5cCI6IkpXVCJ9.....>>> data = zm.dork_search('apache country:cn')>>> zoomeye.show_site_ip(data)213.***.***.46.rev.vo***one.pt ['46.***.***.213']me*****on.o****e.net.pg ['203.***.***.114']soft********63221110.b***c.net['126.***.***.110']soft********26216022.b***c.net['126.***.***.22']soft********5084068.b***c.net ['126.***.***.68']soft********11180040.b***c.net ['126.***.***.40']...

4.数据搜索

如上示例，我们使用dork_search() 进行搜索，我们还可以设置 facets 参数，以便获得该 dork 全量数据的聚合统计结果，facets 支持的字段请参考 2.cli使用-4数据聚合。示例如下：

>>>data = zm.dork_search('telnet', facets='app')>>> zm.get_facet()

{'product': [{'name': '', 'count': 28323128}, {'name': 'BusyBox telnetd','count': 10180912}, {'name': 'Linux telnetd', ......

multi_page_search() 同样也可以进行搜索，当需要获取大量数据时使用该函数，其中 page字段表示获取多少页的数据；而 dork_search() 仅获取指定页的数据。

5.数据筛选

在 SDK 中提供了dork_filter() 函数，我们可以更加方便对数据进行筛选，提取指定的数据字段，如下：

>>>data = zm.dork_search("telnet")>>> zm.dork_filter("ip,port")[['180.*.*.166', 5357], ['180.*.*.6', 5357], ......

由于通过 web-search 和 host-search 返回的字段不同，在进行过滤时需要填写正确的字段。web-search 包含的字段有：app / headers / keywords / title / ip / site / city / countryhost-search 包含的字段有：app / version / device / ip / port / hostname / city /country / asn / banner

【往期推荐】

【内网渗透】内网信息收集命令汇总

【内网渗透】域内信息收集命令汇总

【超详细 | Python】CS免杀-Shellcode Loader原理(python)

【超详细 | Python】CS免杀-分离+混淆免杀思路

【超详细】CVE-2020-14882 | Weblogic未授权命令执行漏洞复现

【超详细 | 附PoC】CVE-2021-2109 | Weblogic Server远程代码执行漏洞复现

【漏洞分析 | 附EXP】CVE-2021-21985 VMware vCenter Server 远程代码执行漏洞

【CNVD-2021-30167 | 附PoC】用友NC BeanShell远程代码执行漏洞复现