FOFA—佛法无边

很开心对它下手了，一直没有时间去总结一下它，今天来花半个小时来简单写一写，挺喜欢这个工具的，他是目前网安届必须去了解的一款实用工具，信息收集必备！这边文章比较简短，但好用！

---

什么是佛法

---

1.FOFA——网络空间资产搜索引擎

2.佛法是白帽汇推出来的一款工具，就是一款咋们自己的升级版shodan

3.可以迅速的进行网络资产匹配、对漏洞影响范围等进行快速分析统计

---

实用的功能

1.可以获取一个根域名下的所有的子域名网站

2.可以根据IP确定企业

3.根据(子域名)IP查找同一IP的其它网站

---

直接上干货

注意：英文引号

咋们先从web前端代码的逻辑顺序来开始收索我们想要的信息！

---

title="xxx"     在标题中搜索xxx

例：huahai

header=''xxx''  在HTTP头搜索xxx

例：utf-8

body="xxx"   在正文中搜索xxx（我这里直接上结果）

例：网络空间测绘

---

现在到了我最喜欢用的语法了！收集子域名必备！

domain=“根域名”    搜索根域名带有“根域名”的网站

例：qq

host=".zs.gov"     从url中搜索”.gov”   可以一步一步、慢慢往目标靠近（从到.zs.gov）

ip="x.x.x.x"     从ip中搜索包含“x.x.x.x”的网站

例如，查询百度相关信息

①找百度ip 

②fofa搜索   （哈哈哈百度的我就不打码啦！感谢百度! ）

③还可以查IP网段，比如这里查C段

   

icp="京ICP备16014788号"         查找备案号为“京ICP备16014788号”的网站

我们能轻易的得到公司的备案号，这里以白帽汇做为例子，我们可以查到他的备案号为

京ICP备16014788号的网站

①查备案号

②FOFA        icp="京ICP备16014788号"

所以

佛法无边，但人心有际！

fofa虽好，但并不是万能！

平时大概用的多的就些啦，

特殊情况就特殊研究，使用佛法前建议先学习好web前端及基础网络！

下面是官方给出的语法参考，复制过来给大家参考。

---

---

FOFA查询语法参考（官方）

直接输入查询语句，将从标题，html内容，http头信息，url字段中搜索；

如果查询表达式有多个与或关系，尽量在外面用（）包含起来；

新增==完全匹配的符号，可以加快搜索速度，比如查找qq所有host，可以是domain=="qq"

例句(点击可去搜索)

用途说明

注

title="beijing"

从标题中搜索“北京”

-

header="elastic"

从http头中搜索“elastic”

-

body="网络空间测绘"

从html正文中搜索“网络空间测绘”

-

domain="qq"

搜索根域名带有qq的网站。

-

icp="京ICP证030173号"

查找备案号为“京ICP证030173号”的网站

搜索网站类型资产

js_name="js/jquery.js"

查找网站正文中包含js/jquery.js的资产

搜索网站类型资产

js_md5="82ac3f14327a8b7ba49baa208d4eaa15"

查找js源码与之匹配的资产

-

icon_hash="-247388890"

搜索使用此icon的资产。

仅限FOFA高级会员使用

host=".gov"

从url中搜索”.gov”

搜索要用host作为名称

port="6379"

查找对应“6379”端口的资产

-

ip="1.1.1.1"

从ip中搜索包含“1.1.1.1”的网站

搜索要用ip作为名称

ip="220.181.111.1/24"

查询IP为“220.181.111.1”的C网段资产

-

status_code="402"

查询服务器状态为“402”的资产

-

protocol="quic"

查询quic协议资产

搜索指定协议类型(在开启端口扫描的情况下有效)

country="CN"

搜索指定国家(编码)的资产。

-

region="Xinjiang"

搜索指定行政区的资产。

-

city="Ürümqi"

搜索指定城市的资产。

-

cert="baidu"

搜索证书(https或者imaps等)中带有baidu的资产。

-

cert.subject="Oracle Corporation"

搜索证书持有者是Oracle Corporation的资产

-

cert.issuer="DigiCert"

搜索证书颁发者为DigiCert Inc的资产

-

cert.is_valid=true

验证证书是否有效，true有效，false无效

仅限FOFA高级会员使用

banner=users && protocol=ftp

搜索FTP协议中带有users文本的资产。

-

type=service

搜索所有协议资产，支持subdomain和service两种

搜索所有协议资产

os="centos"

搜索CentOS资产。

-

server=="Microsoft-IIS/10"

搜索IIS 10服务器。

-

app="Microsoft-Exchange"

搜索Microsoft-Exchange设备

-

after="2017" && before="2017-10-01"

时间范围段搜索

-

asn="19551"

搜索指定asn的资产。

-

org="Amazon, Inc."

搜索指定org(组织)的资产。

-

base_protocol="udp"

搜索指定udp协议的资产。

-

is_fraud=falsenew

排除仿冒/欺诈数据

-

is_honeypot=false

排除蜜罐数据

仅限FOFA高级会员使用

is_ipv6=true

搜索ipv6的资产

搜索ipv6的资产,只接受true和false。

is_domain=true

搜索域名的资产

搜索域名的资产,只接受true和false。

port_size="6"

查询开放端口数量等于"6"的资产

仅限FOFA会员使用

port_size_gt="6"

查询开放端口数量大于"6"的资产

仅限FOFA会员使用

port_size_lt="12"

查询开放端口数量小于"12"的资产

仅限FOFA会员使用

ip_ports="80,161"

搜索同时开放80和161端口的ip

搜索同时开放80和161端口的ip资产(以ip为单位的资产数据)

ip_country="CN"

搜索中国的ip资产(以ip为单位的资产数据)。

搜索中国的ip资产

ip_region="Zhejiang"

搜索指定行政区的ip资产(以ip为单位的资产数据)。

搜索指定行政区的资产

ip_city="Hangzhou"

搜索指定城市的ip资产(以ip为单位的资产数据)。

搜索指定城市的资产

ip_after="2021-03-18"

搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。

搜索2021-03-18以后的ip资产

ip_before="2019-09-09"

搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。

搜索2019-09-09以前的ip资产

---

---

本篇文章多为本人总结，主要为学习所用，如有错误或者侵范隐私请指出！我会第一时间修改并解决，欢迎大家一起交流学习！