Fofa语法、使用技巧、工具推荐汇总

相关阅读

相关技巧

相关工具

什么是Fofa?

图片[1]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

FOFA 是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。

简单理解就是:

一个本土加强版 shodan,知道某产品在互联网的部署情况、获取一个根域名所有子域名网站、根据 IP 确认企业、根据一个子域名网站找到跟他在一个 IP 的其他网站、全网漏洞扫描、一个新的漏洞全网的影响范围。

Fofa作用

监管机构提供国家级解决方案

为企业单位提供公网资产攻击面梳理方案

为安全研究者提供目标资产梳理

为安全研究机构提供数据支撑

为白帽子提供攻防实战能力

Fofa网站

Fofa网站https://fofa.info/

Fofa语法

fofa逻辑连接符

逻辑连接符具体含义
=匹配,=””时,可查询不存在字段或者值为空的情况
==完全匹配,==””时,可查询存在且值为空的情况
&&
||或者
!=不匹配,!=””时,可查询值为空的情况
~=正则语法匹配专用(高级会员独有,不支持body)
()确认查询优先级,括号内容优先级最高

fofa语法

例句用途说明
title=”beijing”从标题中搜索“北京”
header=”elastic”从http头中搜索“elastic”
body=”网络空间测绘”从html正文中搜索“网络空间测绘”
fid=”sSXXGNUO2FefBTcCLIT/2Q==”查找相同的网站指纹搜索网站类型资产
domain=”qq.com”搜索根域名带有qq.com的网站。
icp=”京ICP证030173号”查找备案号为“京ICP证030173号”的网站搜索网站类型资产
js_name=”js/jquery.js”查找网站正文中包含js/jquery.js的资产搜索网站类型资产
js_md5=”82ac3f14327a8b7ba49baa208d4eaa15″查找js源码与之匹配的资产
cname=”ap21.inst.siteforce.com”查找cname为”ap21.inst.siteforce.com”的网站
cname_domain=”siteforce.com”查找cname包含“siteforce.com”的网站
cloud_name=”Aliyundun”通过云服务名称搜索资产
icon_hash=”-247388890″搜索使用此 icon 的资产仅限FOFA高级会员使用
host=”.gov.cn”从url中搜索”.gov.cn”搜索要用host作为名称
port=”6379″查找对应“6379”端口的资产
ip=”1.1.1.1″从ip中搜索包含“1.1.1.1”的网站搜索要用ip作为名称
ip=”220.181.111.1/24″查询IP为“220.181.111.1”的C网段资产
status_code=”402″查询服务器状态为“402”的资产查询网站类型数据
protocol=”quic”查询quic协议资产搜索指定协议类型(在开启端口扫描的情况下有效)
country=”CN”搜索指定国家(编码)的资产。
region=”Xinjiang”搜索指定行政区的资产。
city=”Ürümqi”搜索指定城市的资产。
cert=”baidu”搜索证书(https或者imaps等)中带有baidu的资产。
cert.subject=”Oracle Corporation”搜索证书持有者是Oracle Corporation的资产
cert.issuer=”DigiCert”搜索证书颁发者为DigiCert Inc的资产
cert.is_valid=true验证证书是否有效,true有效,false无效仅限FOFA高级会员使用
jarm=”2ad…83e81″搜索JARM指纹
banner=”users” && protocol=”ftp”搜索FTP协议中带有users文本的资产。
type=”service”搜索所有协议资产,支持subdomain和service两种搜索所有协议资产
os=”centos”搜索CentOS资产。
server==”Microsoft-IIS/10″搜索IIS 10服务器。
app=”Microsoft-Exchange”搜索Microsoft-Exchange设备
after=”2017″ && before=”2017-10-01″时间范围段搜索
asn=”19551″搜索指定asn的资产。
org=”LLC Baxet”搜索指定org(组织)的资产。
base_protocol=”udp”搜索指定udp协议的资产。
is_fraud=false排除仿冒/欺诈数据
is_honeypot=false排除蜜罐数据仅限FOFA高级会员使用
is_ipv6=true搜索ipv6的资产搜索ipv6的资产,只接受true和false。
is_domain=true搜索域名的资产搜索域名的资产,只接受true和false。
is_cloud=true筛选使用了云服务的资产
port_size=”6″查询开放端口数量等于”6″的资产仅限FOFA会员使用
port_size_gt=”6″查询开放端口数量大于”6″的资产仅限FOFA会员使用
port_size_lt=”12″查询开放端口数量小于”12″的资产仅限FOFA会员使用
ip_ports=”80,161″搜索同时开放80和161端口的ip搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
ip_country=”CN”搜索中国的ip资产(以ip为单位的资产数据)。搜索中国的ip资产
ip_region=”Zhejiang”搜索指定行政区的ip资产(以ip为单位的资产数据)。搜索指定行政区的资产
ip_city=”Hangzhou”搜索指定城市的ip资产(以ip为单位的资产数据)。搜索指定城市的资产
ip_after=”2021-03-18″搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。搜索2021-03-18以后的ip资产
ip_before=”2019-09-09″搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。搜索2019-09-09以前的ip资产

常用fofa语法

1、搜索页面标题中含有“后台管理”关键词的网站和IP地址

title="后台管理"
图片[2]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

2、搜索HTTP响应头中含有“flask”关键词的网站和IP地址

header="flask"
图片[3]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

3、搜索根域名中带有“baidu.com”的网站

domain="baidu.com"
图片[4]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

4、搜索域名中带有”login”关键词的网站

host="login"
图片[5]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

5、搜索开放3389端口的ip

port="3389"
图片[6]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

6、搜索城市教育网站

"edu." && region="Beijing"
图片[7]-Fofa语法、使用技巧、工具推荐汇总-FancyPig's blog

知识点

输入is_domain=true这个条件,搜出来的就都是有域名的了

© 版权声明
THE END
喜欢就支持一下吧
点赞11 分享
评论 共7条

请登录后发表评论