前言:
FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。
FOFA搜索语法
主要分为检索字段以及运算符,所有的查询语句都是由这两种元素组成的。目前支持的检索字段包括:domain,host,ip,title,server,header,body,port,cert,country,city,os,appserver,middleware,language,tags,user_tag等等,支持的逻辑运算符包括:= ,==,!= ,&&,||
常用命令:
1.title
搜索包含“标题”的IP title=“标题”
domain
搜索所有子域名
host
搜索host内所有带有qq.com的域名
ip
搜索ip相关信息:ip=“58.63.236.248”
支持ip段搜索 ip=”111.1.1.1/16″ip=”111.1.1.1/24″
body
server
例:Apache出来了一个高危漏洞,我们需要去统计全球的Apache server=”Apache”
新功能:网络空间测绘
fofa支持用户在梳理资产时可以排除蜜罐数据。此外,FOFA 也单独对这类数据做了明显标记。
使用方法1:直接使用查询语法,即可对当前结果过滤;
is_honeypot="false"
使用方法2:点击搜索结果页的“排除蜜罐”开关,即可一键排除蜜罐数据;
FOFA可以在实战中,关键步骤是定位资产归属,找到入口。
使用方法:通过关键字直接搜索
// 搜索证书使用方/持有者为 Oracle Corporation 的资产cert.subject="Oracle Corporation" // 搜索证书颁发机构为 DigiCert Inc 的资产cert.issuer="DigiCert" // 验证证书是否有效,true有效,false无效cert.is_valid="true"
FOFA 提取了网站ICP备案,用户可以通过ICP备案号查找到使用过的网站,目前已经可以看到明显有仿冒的网站(如图)
使用方法:直接使用icp=""查询语法;
// 查找该备案号对应的资产icp="京ICP证030173号"
常见漏洞挖掘思路
前言:在某些平台上,爆出了新的漏洞之后,你就可以使用fofa,搜索一波,查找到符合条件的。然后就可以提交一波了,还可以搜索历史漏洞。
例:Apache Flink未授权访问+远程代码命令执行
app="Adobe-ColdFusion"
评论