前言:
FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。
FOFA搜索语法
主要分为检索字段以及运算符,所有的查询语句都是由这两种元素组成的。目前支持的检索字段包括:domain,host,ip,title,server,header,body,port,cert,country,city,os,appserver,middleware,language,tags,user_tag等等,支持的逻辑运算符包括:= ,==,!= ,&&,||
常用命令:
1.title
搜索包含“标题”的IP title=“标题”
domain
搜索所有子域名
host
搜索host内所有带有qq.com的域名
ip
搜索ip相关信息:ip=“58.63.236.248”
支持ip段搜索 ip=”111.1.1.1/16″ip=”111.1.1.1/24″
body
server
例:Apache出来了一个高危漏洞,我们需要去统计全球的Apache server=”Apache”
新功能:网络空间测绘
fofa支持用户在梳理资产时可以排除蜜罐数据。此外,FOFA 也单独对这类数据做了明显标记。
使用方法1:直接使用查询语法,即可对当前结果过滤;
is_honeypot="false"
使用方法2:点击搜索结果页的“排除蜜罐”开关,即可一键排除蜜罐数据;
FOFA可以在实战中,关键步骤是定位资产归属,找到入口。
使用方法:通过关键字直接搜索
// 搜索证书使用方/持有者为 Oracle Corporation 的资产cert.subject="Oracle Corporation" // 搜索证书颁发机构为 DigiCert Inc 的资产cert.issuer="DigiCert" // 验证证书是否有效,true有效,false无效cert.is_valid="true"
FOFA 提取了网站ICP备案,用户可以通过ICP备案号查找到使用过的网站,目前已经可以看到明显有仿冒的网站(如图)
使用方法:直接使用icp=""查询语法;
// 查找该备案号对应的资产icp="京ICP证030173号"
常见漏洞挖掘思路
前言:在某些平台上,爆出了新的漏洞之后,你就可以使用fofa,搜索一波,查找到符合条件的。然后就可以提交一波了,还可以搜索历史漏洞。
例:Apache Flink未授权访问+远程代码命令执行
app="Adobe-ColdFusion"
陕西省商洛市 1F
这玩意儿真是省事儿👍
重庆市 2F
感觉还行
广东省广州市 3F
这个查询语法在Mac上能直接用吗?有没有兼容性问题需要注意?
泰国 4F
值得一提的是,fofa的cert.is_valid过滤可以帮你快速排除失效证书,提升准确率。
广东省湛江市 5F
前几天我用title=”登录”抓到一批意外的后台页面,真是意外惊喜
山东省滨州市 6F
看到有人把is_honeypot直接写错成is_honeyPot,结果全是误报,笑死
重庆市 7F
其实fofa的排除蜜罐功能并不是万能的,有些高仿蜜罐会伪装成正常资产,还是需要手动核实。
上海市 8F
标题写得有点夸张
江西省南昌市 9F
那如果想一次性查询多个证书持有者,需要怎么写语句?
印度 10F
排除蜜罐这个开关挺实用的
台湾省 11F
原来证书还能这么查
福建省 12F
fofa的icp查询太给力了,帮我快速定位了仿冒站点,真是拯救了我们的合规检查!
日本 13F
排除蜜罐这个功能很关键啊
宁夏银川市 B1
@ 挖掘机小队 没错,做渗透测试时能省不少事。
广东省 14F
这个方法直接上手,省去不少手工筛选的时间,值得推荐
北京市 15F
查证书那个用法以前没想到过