GeoIP‑lookup Checker
26 февраля 2026 г.·262 views

🛠 GeoIP‑lookup Checker

Салют,

Хочу поделиться. с тобой небольшой утилитой, которая позволяет быстро смотреть геолокацию IP‑адресов и доменов, а также обогащать HTTP‑трафик в Burp Suite интегрировав как плагин.

Решил начать писать эту тулу, что бы упростить взаимодействия с внешними источниками и объединить в последствии несколько парно подтягивающихся инструментов типа autoswagger (рассматривали вот тут).

Вот репа, сама тула работает поверх curl и jq, использует бесплатный API ip-api.com и может переключаться на провайдера ipapi‑co. С кайфом буду рад если похейтишь и поможешь улучшить продукт реальными реквестами.

Как работает?

• GeoIP lookup (pretty) по IP или домену

• JSON‑режим выдаёт “сырой” JSON, чтобы его удобно было обрабатывать пайплайнами, например jq , yq , любыми скриптами или SIEM

• Читает список целей из файла и последовательно обрабатывает их с небольшим задержками, чтобы не выбивать лимиты API

• Запускает geoip http и пробует разные методы (GET, HEAD, OPTIONS, POST, PUT, PATCH, DELETE, TRACE) по указанному IP или хосту, показывая статус, заголовки и время ответа

• Ответы сохраняются в ~/.cache/geoip-tool в виде JSON‑файлов. Ключ формируется из цели и языке, а TTL (время жизни) задаётся в geoip_core.sh через CACHE_TTL_SEC , что уменьшает риск выбить rate‑limit

• В Burp можно добавить расширение, которое создаёт вкладку GeoIP для каждого HTTP‑запроса. Расширение берёт host из запроса, вызывает локальную команду geoip json <ip> и показывает prettified JSON во вкладке — удобно при анализе трафика и корреляции IP.

• ip-api отдаёт в ответах заголовки X-Rl (сколько запросов осталось) и X-Ttl (через сколько секунд лимиты обновятся). В geoip-tool они парсятся и выводятся в stderr

Где это может пригодиться?

• Быстрая проверка в терминале

• Обогащение логов и событий SIEM (например индекс в Elastic/ Splunk)

• Анализ HTTP‑поведения сервисов (какие методы разрешены, какие коды приходят, какие заголовки и редиректы)

В грядущем релизе будет

• Полный ответ в файле и таргентинг в nmap, обратно

• Рекурсивно пробегаться по страницам таргета

• Пробивание всех портов (не только 80/ 443)

• Если сервис ip-геолокации отдаёт заголовок Retry-After при ответе Too many requests (429), то можно сделать паузу на это время и потом снова продолжить

• Реверслукап по IP и доменному имени, с помощью сервиса, типа security trails

• Возможность подсунуть swagger и по нему дергать ручку

Установка через GHCR

&#036; docker run –rm ghcr.io/geminishkv/geoip-tool:v0.1.6 –help

&#036; docker run –rm ghcr.io/geminishkv/geoip-tool:v0.1.6 lookup 8.8.8.8

&#036; docker run –rm -e GEOIP_PROVIDER=ipapi-co ghcr.io/geminishkv/geoip-tool:v0.1.6 json 1.1.1.1

Установка из GitHub Release:

curl -L https://github.com/geminishkv/geoip-tool/archive/refs/tags/v0.1.6.tar.gz -o geoip-tool-v0.1.6.tar.gz

tar xzf geoip-tool-v0.1.6.tar.gz

cd geoip-tool-0.1.6

sudo make install

Cценарии

&#036; geoip json 1.1.1.1 | jq ‘.’ # JSON‑выгрузка

&#036; geoip http example.com –https –follow

&#036; geoip http example.com –auto –aggressive

&#036; geoip http example.com –methods GET,HEAD,OPTIONS,TRACE

Структура проекта

• bin/geoip — launcher

• lib/geoip_core.sh — ядро: HTTP‑клиент, кэш, выбор провайдера

• lib/geoip_lookup.sh — логика pretty/ JSON/ batch lookup

• lib/geoip_http.sh — HTTP‑чекап, перебор методов, таймауты, заголовки

• examples/burp-extension/GeoIpTab.py — интеграция с Burp

• Dockerfile — образ для GHCR

Сноска

• GeoIP — это определение географической информации (страна, город, ASN, провайдер и т.д.) по IP‑адресу

• Lookup — это запрос к внешнему сервису по какому‑то идентификатору (IP, домену) с получением структурированного ответа

#appsec #devsecops #specialty #toolchain #techsolution #paper

#appsec#devsecops#specialty#toolchain#techsolution#paper
Открыть в Telegram