很开心对它下手了,一直没有时间去总结一下它,今天来花半个小时来简单写一写,挺喜欢这个工具的,他是目前网安届必须去了解的一款实用工具,信息收集必备!这边文章比较简短,但好用!
什么是佛法
1.FOFA——网络空间资产搜索引擎
2.佛法是白帽汇推出来的一款工具,就是一款咋们自己的升级版shodan
3.可以迅速的进行网络资产匹配、对漏洞影响范围等进行快速分析统计
实用的功能
1.可以获取一个根域名下的所有的子域名网站
2.可以根据IP确定企业
3.根据(子域名)IP查找同一IP的其它网站
直接上干货
注意:英文引号
咋们先从web前端代码的逻辑顺序来开始收索我们想要的信息!
title="xxx" 在标题中搜索xxx
例:huahai
header=''xxx'' 在HTTP头搜索xxx
例:utf-8
body="xxx" 在正文中搜索xxx(我这里直接上结果)
例:网络空间测绘
现在到了我最喜欢用的语法了!收集子域名必备!
domain=“根域名” 搜索根域名带有“根域名”的网站
例:qq
host=".zs.gov" 从url中搜索”.gov” 可以一步一步、慢慢往目标靠近(从到.zs.gov)
ip="x.x.x.x" 从ip中搜索包含“x.x.x.x”的网站
例如,查询百度相关信息
①找百度ip
②fofa搜索 (哈哈哈百度的我就不打码啦!感谢百度! )
③还可以查IP网段,比如这里查C段
icp="京ICP备16014788号" 查找备案号为“京ICP备16014788号”的网站
我们能轻易的得到公司的备案号,这里以白帽汇做为例子,我们可以查到他的备案号为
京ICP备16014788号的网站
①查备案号
②FOFA icp="京ICP备16014788号"
所以
佛法无边,但人心有际!
fofa虽好,但并不是万能!
平时大概用的多的就些啦,
特殊情况就特殊研究,使用佛法前建议先学习好web前端及基础网络!
下面是官方给出的语法参考,复制过来给大家参考。
FOFA查询语法参考(官方)
直接输入查询语句,将从标题,html内容,http头信息,url字段中搜索;
如果查询表达式有多个与或关系,尽量在外面用()包含起来;
新增==完全匹配的符号,可以加快搜索速度,比如查找qq所有host,可以是domain=="qq"
例句(点击可去搜索)
用途说明
注
title="beijing"
从标题中搜索“北京”
-
header="elastic"
从http头中搜索“elastic”
-
body="网络空间测绘"
从html正文中搜索“网络空间测绘”
-
domain="qq"
搜索根域名带有qq的网站。
-
icp="京ICP证030173号"
查找备案号为“京ICP证030173号”的网站
搜索网站类型资产
js_name="js/jquery.js"
查找网站正文中包含js/jquery.js的资产
搜索网站类型资产
js_md5="82ac3f14327a8b7ba49baa208d4eaa15"
查找js源码与之匹配的资产
-
icon_hash="-247388890"
搜索使用此icon的资产。
仅限FOFA高级会员使用
host=".gov"
从url中搜索”.gov”
搜索要用host作为名称
port="6379"
查找对应“6379”端口的资产
-
ip="1.1.1.1"
从ip中搜索包含“1.1.1.1”的网站
搜索要用ip作为名称
ip="220.181.111.1/24"
查询IP为“220.181.111.1”的C网段资产
-
status_code="402"
查询服务器状态为“402”的资产
-
protocol="quic"
查询quic协议资产
搜索指定协议类型(在开启端口扫描的情况下有效)
country="CN"
搜索指定国家(编码)的资产。
-
region="Xinjiang"
搜索指定行政区的资产。
-
city="Ürümqi"
搜索指定城市的资产。
-
cert="baidu"
搜索证书(https或者imaps等)中带有baidu的资产。
-
cert.subject="Oracle Corporation"
搜索证书持有者是Oracle Corporation的资产
-
cert.issuer="DigiCert"
搜索证书颁发者为DigiCert Inc的资产
-
cert.is_valid=true
验证证书是否有效,true有效,false无效
仅限FOFA高级会员使用
banner=users && protocol=ftp
搜索FTP协议中带有users文本的资产。
-
type=service
搜索所有协议资产,支持subdomain和service两种
搜索所有协议资产
os="centos"
搜索CentOS资产。
-
server=="Microsoft-IIS/10"
搜索IIS 10服务器。
-
app="Microsoft-Exchange"
搜索Microsoft-Exchange设备
-
after="2017" && before="2017-10-01"
时间范围段搜索
-
asn="19551"
搜索指定asn的资产。
-
org="Amazon, Inc."
搜索指定org(组织)的资产。
-
base_protocol="udp"
搜索指定udp协议的资产。
-
is_fraud=falsenew
排除仿冒/欺诈数据
-
is_honeypot=false
排除蜜罐数据
仅限FOFA高级会员使用
is_ipv6=true
搜索ipv6的资产
搜索ipv6的资产,只接受true和false。
is_domain=true
搜索域名的资产
搜索域名的资产,只接受true和false。
port_size="6"
查询开放端口数量等于"6"的资产
仅限FOFA会员使用
port_size_gt="6"
查询开放端口数量大于"6"的资产
仅限FOFA会员使用
port_size_lt="12"
查询开放端口数量小于"12"的资产
仅限FOFA会员使用
ip_ports="80,161"
搜索同时开放80和161端口的ip
搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)
ip_country="CN"
搜索中国的ip资产(以ip为单位的资产数据)。
搜索中国的ip资产
ip_region="Zhejiang"
搜索指定行政区的ip资产(以ip为单位的资产数据)。
搜索指定行政区的资产
ip_city="Hangzhou"
搜索指定城市的ip资产(以ip为单位的资产数据)。
搜索指定城市的资产
ip_after="2021-03-18"
搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。
搜索2021-03-18以后的ip资产
ip_before="2019-09-09"
搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。
搜索2019-09-09以前的ip资产
本篇文章多为本人总结,主要为学习所用,如有错误或者侵范隐私请指出!我会第一时间修改并解决,欢迎大家一起交流学习!
更多推荐
FOFA—佛法无边
发布评论