Bootstrap

FOFA(一): FOFA入门

一、FOFA是什么

部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集、 漏洞扫描, 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据;

二、Fafo的使用

网址: https://fofa.info/

1. 用户注册

初次使用不支持"微信扫码", 但支持"微博扫码"登录;
使用个人邮箱进行邮箱注册, 到 https://i.nosec.org/sessions 进行微信 或 微博账号绑定;
之后就可以使用"邮箱账号"、"微信扫码"和"微博扫码"登录到同一个用户;

2. 一般使用

在这里插入图片描述
单条件规则:

规则说明举例备注
titlehtml标题title=“beijing”: 从html标题中搜索"北京"
headerhttp header信息header=“elastic”: 从http头中搜索"elastic"
bodyhtml的正文内容body=“网络空间测绘”: 从html正文中搜索"网络空间测绘"
fid根据"网站指纹"搜索fid=“sSXXGNUO2FefBTcCLIT/2Q==”搜索网站类型资产
domain域名domain=“qq.com”: 搜索根域名带有qq.com的网站
icp备案号icp=“京ICP证030173号”: 查找备案号为"京ICP证030173号"的网站搜索网站类型资产
js_name加载的js文件js_name=“js/jquery.js”: 查找网站正文中包含js/jquery.js的资产搜索网站类型资产
js_md5js源码进行md5js_md5=“82ac3f14327a8b7ba49baa208d4eaa15”:查找js源码与之匹配的资产
cname跳转(域名解析)cname=“ap21.inst.siteforce.com”: 查找cname为"ap21.inst.siteforce.com"的网站
cname_domain跳转(域名解析)cname_domain=“siteforce.com”: 查找cname包含"siteforce.com"的网站在这里插入图片描述
icon_hashiconicon_hash=“-247388890”: 搜索使用此 icon 的资产仅限FOFA高级会员使用
hosturlhost=“.gov.cn”: 从url中搜索".gov.cn"搜索要用host作为名称
port端口port=“6379”: 查找对应"6379"端口的资产
ipipip=“1.1.1.1”: 从ip中搜索包含"1.1.1.1"的网站搜索要用ip作为名称
ipipip=“220.181.111.1/24”: 查询IP为"220.181.111.1"的C网段资产
status_code请求状态码status_code=“402”: 查询服务器状态为"402"的资产查询网站类型数据
protocol协议protocol=“quic”: 查询quic协议资产搜索指定协议类型(在开启端口扫描的情况下有效)
country国家country=“CN”: 搜索指定国家(编码)的资产国家编码表
region行政区region=“Xinjiang”: 搜索指定行政区的资产在这里插入图片描述
city城市city=“Ürümqi”: 搜索指定城市的资产
cert证书cert=“baidu”: 搜索证书(https或者imaps等)中带有baidu的资产
cert.subject证书持有者cert.subject=“Oracle Corporation”: 搜索证书持有者是Oracle Corporation的资产
cert.issuer证书颁发机构cert.issuer=“DigiCert”: 搜索证书颁发者为DigiCert Inc的资产
cert.is_valid证书是否有效cert.is_valid=true: 验证证书是否有效,true有效,false无效仅限FOFA高级会员使用
jarmjarm=“2ad…83e81”: 搜索JARM指纹
banner欢迎语(服务器可设置建立连接后获取)banner=“users”: 搜索banner中带有users文本的资产
type协议类型type=“service”:搜索所有协议资产, 支持subdomain(网站)和service(服务)两种搜索所有协议资产
os主机系统os=“centos”: 搜索CentOS资产
server部署服务器server==“Microsoft-IIS/10”: 搜索IIS 10服务器
appapp=“Microsoft-Exchange”:搜索Microsoft-Exchange设备https://fofa.info/library
after & before时间范围after=“2017” && before=“2017-10-01”: 时间范围段搜索
asnasnasn=“19551”:搜索指定asn的资产
org组织org=“LLC Baxet”: 搜索指定org(组织)的资产
base_protocol通信协议base_protocol=“udp”: 搜索指定udp协议的资产
is_ipv6是ipv6is_ipv6=true: 搜索ipv6的资产搜索ipv6的资产,只接受true和false
is_domain拥有域名的is_domain=true:搜索域名的资产搜索域名的资产,只接受true和false
port_sizeIP下开放的端口数port_size=“6”: 查询开放端口数量等于"6"的资产仅限FOFA会员使用
port_size_gtIP下开放的端口数大于Nport_size_gt=“6”: 查询开放端口数量大于"6"的资产仅限FOFA会员使用
port_size_ltIP下开放的端口数小于Nport_size_lt=“12”: 查询开放端口数量小于"12"的资产仅限FOFA会员使用
ip_ports端口列表ip_ports=“80,161”: 搜索同时开放80和161端口的ip
ip_countryip归属国家ip_country=“CN”: 搜索中国的ip资产以ip为单位的资产数据
ip_regionip归属行政区划ip_region=“Zhejiang”: 搜索指定行政区的ip资产以ip为单位的资产数据
ip_cityip归属城市ip_city=“Hangzhou”: 搜索指定城市的ip资产以ip为单位的资产数据
ip_after某时之后ip归属ip_after=“2021-03-18”: 搜索2021-03-18以后的ip资产以ip为单位的资产数据
ip_before某时之前ip归属ip_before=“2019-09-09”: 搜索2019-09-09以前的ip资产以ip为单位的资产数据

3. 高级用法

规则说明举例备注
=简单赋值title=“beijing”: title包含"beijing"在这里插入图片描述
==完全匹配title==“beijing”: title为"beijing"在这里插入图片描述
()匹配隔离(表达式有多个与或关系)city=“Jinan” && port=“80” && (status_code=“500” || status_code=“404”)在这里插入图片描述
&&city=“Jinan” && port=“80” && status_code=“200”: 资产城市为"济南", 端口为80, 状态码为200的在这里插入图片描述
||或status_code=“200”status_code=“404”: 状态码为200 或 404在这里插入图片描述
!=country!=“CN”在这里插入图片描述

三、界面解释

一般检索结果

在这里插入图片描述

ip聚合:

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

统计:

在这里插入图片描述

以ip为单位的资产数据

在这里插入图片描述

统计:

在这里插入图片描述

四、API

API入门
https://github.com/FOFAPRO

参考

悦读

道可道,非常道;名可名,非常名。 无名,天地之始,有名,万物之母。 故常无欲,以观其妙,常有欲,以观其徼。 此两者,同出而异名,同谓之玄,玄之又玄,众妙之门。

;