fofa常用语法+新功能-网络空间测绘

2021年4月1日15:15:19 评论 366

前言:

FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

1617242420_606529349b7953bf8bcab.png!small?1617242420873

FOFA搜索语法

主要分为检索字段以及运算符,所有的查询语句都是由这两种元素组成的。目前支持的检索字段包括:domain,host,ip,title,server,header,body,port,cert,country,city,os,appserver,middleware,language,tags,user_tag等等,支持的逻辑运算符包括:= ,==,!= ,&&,||

常用命令:

1.title

搜索包含“标题”的IP title=“标题”

1617242465_60652961819c5e7f11d72.png!small?1617242465709

domain

搜索所有子域名

1617242516_6065299409d65e1f5d27c.png!small?1617242516237

host

搜索host内所有带有qq.com的域名

1617242549_606529b5412cd9d49f4cd.png!small?1617242549387

ip

搜索ip相关信息:ip=“58.63.236.248”

支持ip段搜索 ip=”111.1.1.1/16″ip=”111.1.1.1/24″

body

1617242565_606529c51991e259d4cac.png!small?1617242565308

server

例:Apache出来了一个高危漏洞,我们需要去统计全球的Apache server=”Apache”

1617242586_606529da9deafdfa49551.png!small?1617242586751

新功能:网络空间测绘

1617242603_606529ebf35edd817fcbd.png!small?1617242604113

fofa支持用户在梳理资产时可以排除蜜罐数据。此外,FOFA 也单独对这类数据做了明显标记。

使用方法1:直接使用查询语法,即可对当前结果过滤;

is_honeypot="false"

1617242617_606529f9f36c28e690be6.png!small?1617242618311

使用方法2:点击搜索结果页的“排除蜜罐”开关,即可一键排除蜜罐数据;

1617242633_60652a09e2e4b81bf189a.png!small?1617242634151

FOFA可以在实战中,关键步骤是定位资产归属,找到入口。

使用方法:通过关键字直接搜索

// 搜索证书使用方/持有者为 Oracle Corporation 的资产cert.subject="Oracle Corporation" // 搜索证书颁发机构为 DigiCert Inc 的资产cert.issuer="DigiCert" // 验证证书是否有效,true有效,false无效cert.is_valid="true"

FOFA 提取了网站ICP备案,用户可以通过ICP备案号查找到使用过的网站,目前已经可以看到明显有仿冒的网站(如图)

使用方法:直接使用icp=""查询语法;

// 查找该备案号对应的资产icp="京ICP证030173号"

1617242656_60652a20a602d7e385e0e.png!small?1617242656893

常见漏洞挖掘思路

前言:在某些平台上,爆出了新的漏洞之后,你就可以使用fofa,搜索一波,查找到符合条件的。然后就可以提交一波了,还可以搜索历史漏洞。

例:Apache Flink未授权访问+远程代码命令执行

1617242727_60652a67b9d897248dfbe.png!small?1617242727952

app="Adobe-ColdFusion"

1617242746_60652a7a562e8d214ba6c.png!small?1617242746477

https://www.freebuf.com/sectool/268246.html

高性能云服务器2折起

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: