使用FOFA进行资产收集

最新推荐文章于 2024-04-21 23:56:53 发布
最新推荐文章于 2024-04-21 23:56:53 发布
阅读量6.2k 收藏 9
点赞数 2
文章标签: 运维 搜索引擎 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Lazy_ass/article/details/121161209
版权

使用FOFA进行资产收集

FOFA是一款空间搜索引擎;它可以通过进行网络空间测绘快速进行网络资产匹配

FOFA官方地址:https://fofa.so/

我们使用FOFA进行搜索资产的时候他是不区分大小写的;并且我们可以使用一些逻辑连接符号进行高级搜索匹配

&& 符号表示和
|| 表示或
!表示非

header=php (他是用于搜索响应头中是否含有php字段) country!=cn 即是筛选剔除中国地区在这里插入图片描述
server=nginx&&os=centos (搜索服务器是nginx并且是在centos系统上)在这里插入图片描述
app= (搜索该名称的设备) <不做演示>

host=.abc (从ulr中进行搜索该字段;也就是在请求头中的host字段进行查询)在这里插入图片描述
port=80,3306 (搜索开放端口80和3306)在这里插入图片描述
domain=qq.com (搜索根域名带有qq.com)
在这里插入图片描述
title=后台登录
在这里插入图片描述

ip= (搜索该字段的IP地址或者是192.168.10.130/24 搜索该字段的资产)

body=管理界面 (搜索的是html正文中存在该字段)
在这里插入图片描述
after=2017&&before=2020-10-10 (搜索这期间的资产)在这里插入图片描述

放羊的狗
关注
  • 2
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
记一次项目上的漏洞挖掘
Workers77的博客
02-14 3811
接到领导通知,要对某个客户的资产做一次渗透,客户只给了一个C段IP,具体的资产需要自己去收集 通过fofa搜索后,拿到一堆的资产。看了一遍发现客户有个金和的OA系统,于是就有了下面的故事 打开后就是个登录界面,因为在前期信息收集的时候也看到这个OA存在一个用户名的注入漏洞(历史漏洞 金和协同管理平台SQL注入漏洞(无需登录demo站成功复现) | wooyun-2015-0141624| WooYun.org),这个洞虽然比较老了,但也可以试一下。按照这个保姆级教程抓包测试 结果可想而知 ..
fofa特定搜索语法记录
u011975363的专栏
04-13 2398
致远OA:app=Yonyou-Seeyon-OA
开发实战(6)--对fofa收集的漏洞资产使用poc进行批量验证
最新发布
weixin_72543266的博客
04-21 1133
收集的漏洞信息进行批量监测的一个通用脚本,本质是可以做一个通用的漏洞批量监测的通用模板,可惜的是没有成功获得可以进行测试的weblogic的资产,但是还是发现狮子鱼确实漏洞资产很多可以进行验证.t=N7T8t=N7T8安全开发实战http://t.csdnimg.cn/Ba4Ru。
fofa资产收集-python爬虫
安于心,修于形
05-12 1335
使用fofa进行搜索资产时,使用api接口调用进行提取时是有限制的,那提取上限怎么办?一个一个负责出来吗?当然不是,而是需要一个无限制爬取的脚本.fofa_token在F12-cookie当中查找复制即可。result.txt是ipf.txt去重后的结果。后面的页数若是(1,5)那便是提取1页到5页.其中search_data填写搜索关键词。ip.txt提取的为原始内容结果如下。ipf.txt提取的为原始内容的IP。
Fofa 下载与使用 网络空间搜索引擎
weixin_47853811的博客
12-19 7075
Fofa 网络空间搜索引擎 官方网址:https://fofa.so/ 下载地址:https://fofa.so/about_client API:https://fofa.so/static_pages/api_help 以焦作大学官方网址为例:domain="jzu.edu.cn" 可以看到对应的信息
FOFA网络空间搜索引擎使用教程
weixin_30883777的博客
08-09 1万+
FOFA是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配,例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 官网:https://fofa.so/ 官方文档:https://fofa.so/help 下面是FOFA的一些简单使用案例: 注意:FOFA搜索关键词不区分大小写 1、搜索页面标题中含有“后台管理”关键词的网站...
【终极FOFA组合语法指南】如何用FOFA打出组合拳搜索目标资产
鹅子鱼的博客:很菜但是很好学的小菜鸟
04-20 4670
【终极FOFA组合语法指南】如何用FOFA更快、更准、更专地搜索目标资产
查找与ZoomEye(钟馗之眼)功能类似的搜索引擎
wy的博客
10-17 304
ZoomEye正是一个检索网络空间节点的搜索引擎。通过后端的分布式爬虫引擎(无论谁家的搜索引擎都是这样)对全球节点的分析,对每个节点的所拥有的特征进行判别,从而获得设备类型、固件版本、分布地点、开放端口服务等信息。这么一说可能会有人觉得这个搜索引擎跟国外的SHODAN(撒旦)非常相似,ZoomEye也经常被冠以『中文版shodan』的名号。其实 ZoomEye 跟 Shodan 还是有明显区别的。Shodan 主要针对的是设备指纹,也就是与某些特定端口通信之后返回的 banner 信息的采集和索引。
FOFA资产扫描工具
2301_76769195的博客
12-03 461
FOFA资产扫描工具的简单运用
fofa_view:FOFA Pro视图是一个FOFA Pro资产展示浏览器插件,目前兼容Chrome,Firefox,Opera
01-28
使用此插件,您可以查看Fofa Pro在给定的网站/域上收集的所有信息。 项目地址: : 安装 Chrome 手动安装 下载版本: : 解压插件压缩包,打开chrome:// extensions /并打开开发者模式,点击加载已解压的扩展程序...
安服仔必备--FofaCollector(fofa采集脚本)2022最新版
02-25
安全工作者在业务中经常会用到fofa搜集甲方资产(子域名,旁站,c段等),该脚本使用python3编写,分为API版(最多只能获取1w条数据)和爬虫版(有多少数据就能获取多少数据,需要cookie),且都为命令行参数形式。...
DarkEye:渗透测试情报收集工具
03-18
从互联网收集目标信息。 资产弱密码,脆弱性检查。 功能介绍 超级扫描 支持范围扫描(IP,端口)。 支持活跃网段,主机。 支持常用协议弱密码爆破。 支持获取标题和中间件。 支持绕过防火墙频率限制扫描(限单IP)。...
Photostudio:Photostudio是一款能进行自动化检测网页存活并实时给网页拍照的工具,通过调用FofaZoomeye360quashodan等 Api快速准确查询资产进行网页截图,从而实施进一步的信息筛查
04-12
我们经常面临条件下不同的网络、资产、框架、进行信息收集 每次我们都面临不得不解决的新挑战,而收集资产状态是最繁琐的一种,工具和脚本来让我们的工作变得更加轻松,由于每个人都有每个人收集的方式和方法,但愿...
Goby新一代网络安全工具
01-06
Goby是一款新的网络安全测试工具,由赵武Zwell(Pangolin、JSky、FOFA作者)打造,它能够针对一个目标企业梳理最全的攻击面信息,同时能进行高效、实战化漏洞扫描,并快速的从一个验证入口点,切换到横向。...
渗透测试(10)- 目标资产被动信息收集
fanmeng2008的博客
01-15 1022
信息收集可以分为两类: 主动信息搜集和被动信息收集: 主动信息收集在上一篇文章也做了介绍, 被动信息搜集:指不与目标主机进行直接交互,通过搜索引擎或者社会工程等方式间接的获取目标主机的信息。
FOFA 使用API获取IP等资产信息
tigerOrtiger的博客
04-18 1万+
FOFA 调用API获取IP等资产信息 0x01 FOFA的API介绍 首先介绍什么是FOFAfofa无边,回头是岸 ????)FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。和fofa类似的搜索引擎还有Shodan、zoomceye(钟馗之眼)。 关于API的详细介绍各位客官里面请...
fofa使用手册笔记
热门推荐
千寻的博客
11-26 1万+
文章目录FOFA介绍FOFA搜索语法常用命令标题中搜索从http头中搜索从html正文中搜索从url中搜索关键字搜索端口搜索IP搜索指定协议类型搜索指定城市的资产搜索指定行政区的资产搜索指定国家(编码)的资产搜索证书(https或者imaps等)中带有的资产搜索操作系统类型搜索服务器版本搜索指定设备名称搜索中国的ip资产高级用法其他规则摘抄免责声明 FOFA介绍 地址https://fofa.so/ FOFA搜索语法 常用命令 标题中搜索 title="后台管理"# 搜索包含“后台管理”的 从htt
Fofa的简单使用
汗的博客
05-25 1万+
因为没氪金,没法深入研究,,, 文章目录地址简介查询语法参考基本语法逻辑运算符其他 地址 https://www.fofa.so/ 简介 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、获取一个根域名所有子域名网站、根据IP确认企业、根据一个子域名网站找到跟他在一个IP的其他网站、全网漏洞扫描、一个新的漏洞
怎样用fofa搜集永恒之蓝资产
04-05
永恒之蓝是一种利用Windows漏洞进行攻击的工具,因此要使用FOFA搜索永恒之蓝资产,需要先了解一些Windows漏洞的知识。以下是使用FOFA搜索永恒之蓝资产的步骤: 1. 打开FOFA官网(https://fofa.so/),输入以下关键词进行搜索: app="NSA" && title="eternalblue" 2. FOFA会返回一些与永恒之蓝相关的资产,包括IP地址、域名、操作系统、端口等信息。 3. 对于IP地址和域名等资产,可以使用一些漏洞扫描工具,如Nmap、Metasploit等,对其进行漏洞扫描,以确定是否存在永恒之蓝漏洞。 4. 如果存在永恒之蓝漏洞,可以使用一些攻击工具,如Metasploit、Empire等,对目标进行攻击。 需要注意的是,使用永恒之蓝进行攻击是非常危险和不道德的行为,可能会导致严重的后果,建议仅在合法和授权的情况下进行相关操作。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值