FOFA的icon_hash参数含义

在资产搜索的细枝末节里，icon_hash 常被误当作普通的关键词，却往往是打开同类资产链路的钥匙。FOFA 通过对目标网站根目录下的 /favicon.ico 进行指纹化处理，生成一个数值化的哈希标识，这个标识可以在全网范围内快速比对相同或相似的图标。

icon_hash 的生成机制

技术细节上，FOFA 先抓取 favicon.ico 的原始二进制流，随后计算其 MD5 摘要；再将 MD5 十六进制字符串转为大端整数，最后取其低 32 位并以有符号整数形式输出。举例来说，某站点的 MD5 为 e4d909c290d0fb1ca068ffaddf22cbd0，对应的 icon_hash 便是 -247388890。因为 MD5 本身对微小改动极其敏感，同一套图标在不同服务器上几乎必然得到相同的 icon_hash。

查询技巧与组合

• 单独使用：icon_hash="-247388890" ，快速定位使用该图标的全部资产。
• 配合 port：icon_hash="-247388890" && port="80"，锁定 HTTP 服务的同类站点。
• 结合 country：icon_hash="-247388890" && country=CN，筛选出中国境内的同类业务。
• 排除特定技术栈：icon_hash="-247388890" && !app="WordPress"，剔除常见的 WordPress 站点。

案例剖析：利用 icon_hash 定位内部管理系统

一次渗透演练中，团队先在公开渠道发现某企业的登录页使用了独特的蓝白配色图标。抓取该页面的 favicon.ico 后，计算得出 icon_hash="-123456789"。随后在 FOFA 中输入 icon_hash="-123456789" && port="443"，短短几秒钟便返回了十余个同样使用该图标的域名。进一步把结果与 title、header 组合，筛选出带有 “管理后台” 字样的页面，最终锁定了一个未做访问控制的内部系统入口。

这类指纹式搜索的威力往往被低估，尤其在面对大量同构业务时，icon_hash 能像放大镜一样把散落在互联网角落的相似资产聚拢在一起。