FOFA(一): FOFA入门

一、FOFA是什么

部署在互联网上的网络设备资产信息搜索引擎。旨在尽可能多的对全球IT设备资产进行信息收集、 漏洞扫描， 进而开展资产影响分析、漏洞影响分析, 为相关流行态势感知分析提供依据;

二、Fafo的使用

网址: https://fofa.info/

1. 用户注册

初次使用不支持"微信扫码", 但支持"微博扫码"登录;
使用个人邮箱进行邮箱注册, 到 https://i.nosec.org/sessions 进行微信 或 微博账号绑定;
之后就可以使用"邮箱账号"、"微信扫码"和"微博扫码"登录到同一个用户;

2. 一般使用

单条件规则:

规则	说明	举例	备注
title	html标题	title=“beijing”: 从html标题中搜索"北京"
header	http header信息	header=“elastic”: 从http头中搜索"elastic"
body	html的正文内容	body=“网络空间测绘”: 从html正文中搜索"网络空间测绘"
fid	根据"网站指纹"搜索	fid=“sSXXGNUO2FefBTcCLIT/2Q==”	搜索网站类型资产
domain	域名	domain=“qq.com”: 搜索根域名带有qq.com的网站
icp	备案号	icp=“京ICP证030173号”: 查找备案号为"京ICP证030173号"的网站	搜索网站类型资产
js_name	加载的js文件	js_name=“js/jquery.js”: 查找网站正文中包含js/jquery.js的资产	搜索网站类型资产
js_md5	js源码进行md5	js_md5=“82ac3f14327a8b7ba49baa208d4eaa15”:查找js源码与之匹配的资产
cname	跳转(域名解析)	cname=“ap21.inst.siteforce.com”: 查找cname为"ap21.inst.siteforce.com"的网站
cname_domain	跳转(域名解析)	cname_domain=“siteforce.com”: 查找cname包含"siteforce.com"的网站
icon_hash	iconicon_hash=“-247388890”: 搜索使用此 icon 的资产仅限	FOFA高级会员使用
host	url	host=“.gov.cn”: 从url中搜索".gov.cn"	搜索要用host作为名称
port	端口	port=“6379”: 查找对应"6379"端口的资产
ip	ip	ip=“1.1.1.1”: 从ip中搜索包含"1.1.1.1"的网站	搜索要用ip作为名称
ip	ip	ip=“220.181.111.1/24”: 查询IP为"220.181.111.1"的C网段资产
status_code	请求状态码	status_code=“402”: 查询服务器状态为"402"的资产查询网站类型数据
protocol	协议	protocol=“quic”: 查询quic协议资产搜索	指定协议类型(在开启端口扫描的情况下有效)
country	国家	country=“CN”: 搜索指定国家(编码)的资产	国家编码表
region	行政区	region=“Xinjiang”: 搜索指定行政区的资产
city	城市	city=“Ürümqi”: 搜索指定城市的资产
cert	证书	cert=“baidu”: 搜索证书(https或者imaps等)中带有baidu的资产
cert.subject	证书持有者	cert.subject=“Oracle Corporation”: 搜索证书持有者是Oracle Corporation的资产
cert.issuer	证书颁发机构	cert.issuer=“DigiCert”: 搜索证书颁发者为DigiCert Inc的资产
cert.is_valid	证书是否有效cert.is_valid=true: 验证证书是否有效，true有效，false无效	仅限FOFA高级会员使用
jarm		jarm=“2ad…83e81”: 搜索JARM指纹
banner	欢迎语(服务器可设置建立连接后获取)	banner=“users”: 搜索banner中带有users文本的资产
type	协议类型	type=“service”:搜索所有协议资产, 支持subdomain(网站)和service(服务)两种	搜索所有协议资产
os	主机系统	os=“centos”: 搜索CentOS资产
server	部署服务器	server==“Microsoft-IIS/10”: 搜索IIS 10服务器
app		app=“Microsoft-Exchange”:搜索Microsoft-Exchange设备	https://fofa.info/library
after & before	时间范围	after=“2017” && before=“2017-10-01”: 时间范围段搜索
asn	asn	asn=“19551”:搜索指定asn的资产
org	组织	org=“LLC Baxet”: 搜索指定org(组织)的资产
base_protocol	通信协议	base_protocol=“udp”: 搜索指定udp协议的资产
is_ipv6	是ipv6	is_ipv6=true: 搜索ipv6的资产	搜索ipv6的资产,只接受true和false
is_domain	拥有域名的	is_domain=true:搜索域名的资产	搜索域名的资产,只接受true和false
port_size	IP下开放的端口数	port_size=“6”: 查询开放端口数量等于"6"的资产	仅限FOFA会员使用
port_size_gt	IP下开放的端口数大于N	port_size_gt=“6”: 查询开放端口数量大于"6"的资产	仅限FOFA会员使用
port_size_lt	IP下开放的端口数小于N	port_size_lt=“12”: 查询开放端口数量小于"12"的资产	仅限FOFA会员使用
ip_ports	端口列表	ip_ports=“80,161”: 搜索同时开放80和161端口的ip
ip_country	ip归属国家	ip_country=“CN”: 搜索中国的ip资产	以ip为单位的资产数据
ip_regionip	归属行政区划	ip_region=“Zhejiang”: 搜索指定行政区的ip资产	以ip为单位的资产数据
ip_city	ip归属城市	ip_city=“Hangzhou”: 搜索指定城市的ip资产	以ip为单位的资产数据
ip_after	某时之后ip归属	ip_after=“2021-03-18”: 搜索2021-03-18以后的ip资产	以ip为单位的资产数据
ip_before	某时之前ip归属i	p_before=“2019-09-09”: 搜索2019-09-09以前的ip资产	以ip为单位的资产数据

3. 高级用法

规则	说明	举例	备注
=	简单赋值	title=“beijing”: title包含"beijing"
==	完全匹配	title==“beijing”: title为"beijing"
()	匹配隔离(表达式有多个与或关系)	city=“Jinan” && port=“80” && (status_code=“500” || status_code=“404”)
&&	与	city=“Jinan” && port=“80” && status_code=“200”: 资产城市为"济南", 端口为80, 状态码为200的
||	或status_code=“200”	status_code=“404”: 状态码为200 或 404
!=	非	country!=“CN”

三、界面解释

一般检索结果

ip聚合:

统计:

以ip为单位的资产数据

统计:

四、API

API入门
https://github.com/FOFAPRO

参考

• https://www.aqniu.com/tools-tech/20899.html
• FOFA使用手册V1.5 (内部资料)
• 常用名词解释: https://blog.csdn.net/zerostruggle/article/details/117030621
• 支持的设备/资产: https://www.aqniu.com/tools-tech/20899.html
• 网站指纹: https://www.zhihu.com/question/23389858?sort=created
• 指纹检测: https://www.bilibili.com/read/cv12583154/
• Web指纹识别技术研究与优化实现: https://www.anquanke.com/post/id/178230
• JARM指纹: https://wangzhan.360.cn/296.html