一、FOFA是什么
部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集、 漏洞扫描, 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据;
二、Fafo的使用
1. 用户注册
初次使用不支持"微信扫码", 但支持"微博扫码"登录;
使用个人邮箱进行邮箱注册, 到 https://i.nosec.org/sessions 进行微信 或 微博账号绑定;
之后就可以使用"邮箱账号"、"微信扫码"和"微博扫码"登录到同一个用户;
2. 一般使用
单条件规则:
规则 | 说明 | 举例 | 备注 |
---|---|---|---|
title | html标题 | title=“beijing”: 从html标题中搜索"北京" | |
header | http header信息 | header=“elastic”: 从http头中搜索"elastic" | |
body | html的正文内容 | body=“网络空间测绘”: 从html正文中搜索"网络空间测绘" | |
fid | 根据"网站指纹"搜索 | fid=“sSXXGNUO2FefBTcCLIT/2Q==” | 搜索网站类型资产 |
domain | 域名 | domain=“qq.com”: 搜索根域名带有qq.com的网站 | |
icp | 备案号 | icp=“京ICP证030173号”: 查找备案号为"京ICP证030173号"的网站 | 搜索网站类型资产 |
js_name | 加载的js文件 | js_name=“js/jquery.js”: 查找网站正文中包含js/jquery.js的资产 | 搜索网站类型资产 |
js_md5 | js源码进行md5 | js_md5=“82ac3f14327a8b7ba49baa208d4eaa15”:查找js源码与之匹配的资产 | |
cname | 跳转(域名解析) | cname=“ap21.inst.siteforce.com”: 查找cname为"ap21.inst.siteforce.com"的网站 | |
cname_domain | 跳转(域名解析) | cname_domain=“siteforce.com”: 查找cname包含"siteforce.com"的网站 | |
icon_hash | iconicon_hash=“-247388890”: 搜索使用此 icon 的资产仅限 | FOFA高级会员使用 | |
host | url | host=“.gov.cn”: 从url中搜索".gov.cn" | 搜索要用host作为名称 |
port | 端口 | port=“6379”: 查找对应"6379"端口的资产 | |
ip | ip | ip=“1.1.1.1”: 从ip中搜索包含"1.1.1.1"的网站 | 搜索要用ip作为名称 |
ip | ip | ip=“220.181.111.1/24”: 查询IP为"220.181.111.1"的C网段资产 | |
status_code | 请求状态码 | status_code=“402”: 查询服务器状态为"402"的资产查询网站类型数据 | |
protocol | 协议 | protocol=“quic”: 查询quic协议资产搜索 | 指定协议类型(在开启端口扫描的情况下有效) |
country | 国家 | country=“CN”: 搜索指定国家(编码)的资产 | 国家编码表 |
region | 行政区 | region=“Xinjiang”: 搜索指定行政区的资产 | |
city | 城市 | city=“Ürümqi”: 搜索指定城市的资产 | |
cert | 证书 | cert=“baidu”: 搜索证书(https或者imaps等)中带有baidu的资产 | |
cert.subject | 证书持有者 | cert.subject=“Oracle Corporation”: 搜索证书持有者是Oracle Corporation的资产 | |
cert.issuer | 证书颁发机构 | cert.issuer=“DigiCert”: 搜索证书颁发者为DigiCert Inc的资产 | |
cert.is_valid | 证书是否有效cert.is_valid=true: 验证证书是否有效,true有效,false无效 | 仅限FOFA高级会员使用 | |
jarm | jarm=“2ad…83e81”: 搜索JARM指纹 | ||
banner | 欢迎语(服务器可设置建立连接后获取) | banner=“users”: 搜索banner中带有users文本的资产 | |
type | 协议类型 | type=“service”:搜索所有协议资产, 支持subdomain(网站)和service(服务)两种 | 搜索所有协议资产 |
os | 主机系统 | os=“centos”: 搜索CentOS资产 | |
server | 部署服务器 | server==“Microsoft-IIS/10”: 搜索IIS 10服务器 | |
app | app=“Microsoft-Exchange”:搜索Microsoft-Exchange设备 | https://fofa.info/library | |
after & before | 时间范围 | after=“2017” && before=“2017-10-01”: 时间范围段搜索 | |
asn | asn | asn=“19551”:搜索指定asn的资产 | |
org | 组织 | org=“LLC Baxet”: 搜索指定org(组织)的资产 | |
base_protocol | 通信协议 | base_protocol=“udp”: 搜索指定udp协议的资产 | |
is_ipv6 | 是ipv6 | is_ipv6=true: 搜索ipv6的资产 | 搜索ipv6的资产,只接受true和false |
is_domain | 拥有域名的 | is_domain=true:搜索域名的资产 | 搜索域名的资产,只接受true和false |
port_size | IP下开放的端口数 | port_size=“6”: 查询开放端口数量等于"6"的资产 | 仅限FOFA会员使用 |
port_size_gt | IP下开放的端口数大于N | port_size_gt=“6”: 查询开放端口数量大于"6"的资产 | 仅限FOFA会员使用 |
port_size_lt | IP下开放的端口数小于N | port_size_lt=“12”: 查询开放端口数量小于"12"的资产 | 仅限FOFA会员使用 |
ip_ports | 端口列表 | ip_ports=“80,161”: 搜索同时开放80和161端口的ip | |
ip_country | ip归属国家 | ip_country=“CN”: 搜索中国的ip资产 | 以ip为单位的资产数据 |
ip_regionip | 归属行政区划 | ip_region=“Zhejiang”: 搜索指定行政区的ip资产 | 以ip为单位的资产数据 |
ip_city | ip归属城市 | ip_city=“Hangzhou”: 搜索指定城市的ip资产 | 以ip为单位的资产数据 |
ip_after | 某时之后ip归属 | ip_after=“2021-03-18”: 搜索2021-03-18以后的ip资产 | 以ip为单位的资产数据 |
ip_before | 某时之前ip归属i | p_before=“2019-09-09”: 搜索2019-09-09以前的ip资产 | 以ip为单位的资产数据 |
3. 高级用法
规则 | 说明 | 举例 | 备注 |
---|---|---|---|
= | 简单赋值 | title=“beijing”: title包含"beijing" | |
== | 完全匹配 | title==“beijing”: title为"beijing" | |
() | 匹配隔离(表达式有多个与或关系) | city=“Jinan” && port=“80” && (status_code=“500” || status_code=“404”) | |
&& | 与 | city=“Jinan” && port=“80” && status_code=“200”: 资产城市为"济南", 端口为80, 状态码为200的 | |
|| | 或status_code=“200” | status_code=“404”: 状态码为200 或 404 | |
!= | 非 | country!=“CN” |
三、界面解释
一般检索结果
ip聚合:
统计:
以ip为单位的资产数据
统计:
四、API
API入门
https://github.com/FOFAPRO
参考
- https://www.aqniu.com/tools-tech/20899.html
- FOFA使用手册V1.5 (内部资料)
- 常用名词解释: https://blog.csdn.net/zerostruggle/article/details/117030621
- 支持的设备/资产: https://www.aqniu.com/tools-tech/20899.html
- 网站指纹: https://www.zhihu.com/question/23389858?sort=created
- 指纹检测: https://www.bilibili.com/read/cv12583154/
- Web指纹识别技术研究与优化实现: https://www.anquanke.com/post/id/178230
- JARM指纹: https://wangzhan.360.cn/296.html