天哪!还有这些逆天的fofa​语句?(二)

最新推荐文章于 2024-09-25 17:31:19 发布
最新推荐文章于 2024-09-25 17:31:19 发布
阅读量635 收藏 9
点赞数 7
文章标签: 渗透测试 黑客攻击 安全服务 应急响应 资产测绘
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Liyu_6618/article/details/136296936
版权

接上文

天哪!还有这些逆天的fofa语句?

再分享几条,个人觉得比较有意思的fofa语句。

  1. 情侣飞行器

之前写过文章的,有兴趣的师傅可以试着翻翻以前的文章去破解密码

fofa语句:"static/js/index.d2dcdf5b.js"

图片

2.Burp

burp是什么就不用过多的去讲述了

fofa语句:body="Welcome to Burp Suite"

图片

3.AWVS

AWVS,是一款专业的网络漏洞扫描工具。

fofa语句:title="Acunetix"

经测验,自己编写一个小的脚本,可以跑出来很多弱口令,可惜蜜罐太多,我想也不会真有人把这种东西放到公网上吧。

图片

4.弱口令摄像头

国外乐色摄像头,有很多没改默认口令的,账号密码admin/admin

fofa:app="Finetree-5MP-Network-Camera"

批量脚本:

https://github.com/ChinaRan0/Finetree-5MP  #代码编写者:ChinaRan404

图片

5.Jupyter

Jupyter Notebook(此前被称为 IPython notebook)是一个交互式笔记本,支持运行 40 多种编程语言。Jupyter Notebook 的本质是一个 Web 应用程序,便于创建和共享程序文档,支持实时代码,数学方程,可视化和 markdown。 

大部分机器都没有设置口令,未授权漏洞一打一个不吱声。

fofa:product="Jupyter-Notebook"

图片

文末

关注公众号"知攻善防实验室"后台回复“交流群”获取技术交流群链接

往期推荐

中国起重机影响美国网络安全?

魔改Mac OS渗透测试工具箱!

你需要它!渗透测试专用firefox浏览器 v2024.1

这样用浏览器再被溯源,你找我!我给你补!

【全网首篇】Copyparty 路径遍历漏洞 CVE-2023-37474 漏洞分析

知攻善防实验室
关注
fofa的简单用法语句
m0_53327302的博客
12-12 2073
fofa的简单用法 fofa的简单用法语句**** https://www.fofa.so/ 简介 官网这样描述:FOFA是白帽汇推出的一款网络空间资产搜索引擎。它能够帮助用户迅速进行网络资产匹配、加快后续工作进程。例如进行漏洞影响范围分析、应用分布统计、应用流行度排名统计等。 简单理解就是,一个本土加强版shodan,知道某产品在互联网的部署情况、获取一个根域名所有子域名网站、根据IP确认企业、根据一个子域名网站找到跟他在一个IP的其他网站、全网漏洞扫描、一个新的漏洞全网的影响范围。 查询语法参考 基本语
FOFA语句
weixin_45682070的博客
11-07 1958
Apache Flink未授权访问+远程代码命令执行 app="APACHE-Flink" && country="CN" Apache-Shiro app="Apache-Shiro" 威胁情报-挖矿啥的 body="miner.start("&&header!="Mikrotik HttpProxy"&&country=CN 目录遍历 body="miner.start("&&header!="Mikrotik HttpProx
fofa第一个查找漏洞
小小猪的博客
12-14 2793
fofa第一个查找漏洞 注意: 该教程用于传授知识,有犯罪概不负责 fofa搜索: app="ACTi-视频监控" 打开一个网址 输入出厂密码admin/123456 可以看到成功登录进去
106.WEB渗透测试-信息收集-FOFA语法(6)
最新发布
计算机王的博客
09-25 272
web渗透测试
fofa的有趣搜索语句小记
闵行小鱼塘
07-07 5448
记录下一些有趣的fofa搜索语句
FOFA搜索引擎常用语句【持续更新】
weixin_42090431的博客
01-04 1723
模糊匹配,使用*或者?进行搜索,比如banner*="mys?" (个人版及以上可用)。直接输入查询语句,将从标题,html内容,http头信息,url字段中搜索;如果查询表达式有多个与或关系,尽量在外面用()包含起来;匹配,=""时,可查询不存在字段或者值为空的情况。完全匹配,==""时,可查询存在且值为空的情况。=""时,可查询值为空的情况。确认查询优先级,括号内容优先级最高。
FOFAfofa搜索引擎的常用搜索语法
SUSUYUA的博客
01-13 1万+
FAFA常用搜索语法
网络空间测绘FOFA)常用命令
weixin_63607914的博客
06-30 1335
来看一下网络安全神器fofa,它在信息收集领域有这举足轻重的作用,下面我们为您来学习一下它的使用和基本语法。从url中搜索携带关键HOST信息的网站。7.搜索特定ip地址的网站信息。title="实验报告系统"11.根据服务器状态码查询。server="服务器"先看一下它的逻辑连接符。
渗透字典-fofa测绘语句
02-08
在使用fofa搜索引擎时一些常用的搜索语句
fofa语句采集器批量采集url
05-13
在cmd里打开输入邮箱和key即可食用,原创无后门。
Fofa-gui fofa快速采集工具
01-19
【标题】"Fofa-gui fofa快速采集工具"是针对网络安全研究和学习的专业工具,主要用于数据抓取和信息收集。Fofa-gui是该工具的图形化界面版本,使得用户能够更加直观、便捷地操作fofa的搜索功能。 【描述】"仅供学习...
开发实战(5)--fofa进行漏洞poc的信息收集
记录开发和安全学习过程中的点点滴滴
04-21 2555
突破fafa信息采集时只能查看5页数据, 主要还是围绕渗透测试的流程进行开发,一般在信息收集后,在渗透测试后,在发现通用型漏洞时,我们为了节省时间,可以通过写批量脚本来信息收集,然后使用poc来进行批量验证.作为一个fofa工程师,那么我们当然是使用fofa进行信息搜集喽,刚好也借着这个机会熟悉一下fofa的API文档,为后面写利用工具做好铺垫,当然目前还是用不到API的,问就是用不起,所以只能写脚本突破注册会员限制进行信息爬取。
巧秒利用fofa挖到第一个漏洞
hackzkaq的博客
07-14 1万+
FOFA是一款非常强大的搜索引擎 关于对于fofa的描述是:FOFA(网络空间资产检索系统)是世界上数据覆盖更完整的IT设备搜索引擎,拥有全球联网IT设备更全的DNA信息。 探索全球互联网的资产信息,进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。 相对于shodan来说fofa的优点就是更加本土化,拥有更多的域名数据,建立了全球最大的资产规则集,而且现在已经更新了识别蜜罐的功能。 fofa的功能这么强大,那我们要怎么利用好提供的功能来挖洞呢? fofa官方提供了一些基本语法: 图片 而真正
【漏洞复现】网络摄像头——弱口令
LongL_GuYu的博客
07-08 1888
诸多主流摄像头存在弱口令
fofa使用
山兔的博客
04-26 5958
FOFA 搜索引擎检索到的内容主要是服务器,数据库,某个网站管理后台,路由器,交换机,公共ip的打印机,网络摄像头,门禁系统,Web服务,普通会员也可以用 1.1 domain 搜索QQ所有的子域名 : domain=”qq.com” 1.2 host 例:搜索host内所有带有qq.com的域名: host=”qq.com” 1.3 ip 例:搜索某个IP上的相关信息 ip=”58.63.236.248” 支持IP段搜索 ip=”111.1.1.1/8” ip=”111.1.1.1/16” ip=”111
关于路由器,摄像头,防火墙的搜索方法(IOT设备)
热门推荐
m0_52027565的博客
11-16 1万+
关于路由器,摄像头,防火墙的搜索方法(IOT设备) 目录关于路由器,摄像头,防火墙的搜索方法(IOT设备)前言一、路由器,交换机(WiFi)**常规引擎**安全引擎、摄像头(Camera)常规引擎:安全引擎:三、防火墙(WAF)常规引擎安全引擎总结 前言 Google是一个功能强大的搜索引擎,通过预定义命令,可以查询出令人难以置信的结果。利用Google搜索智能搜索,甚至可以进入部分远程服务器获取机密、搜索敏感信息,造成信息泄露。本文从安全角度,对Google这一工具进行深度信息挖掘。。 提示:以下是
FOFA入门指南:轻松掌握搜索技巧和特色功能
weixin_54960362的博客
04-18 8091
FOFA是什么?FOFA能做什么?FOFA的特色功能是什么。
网安-常用网络空间搜索引擎语法(FOFA、Google、鹰图、QUAKE、钟馗之眼)
XLbb的博客
08-11 1579
注意: after是⼤于并且等于,before是⼩于,这⾥ after="2017" 就是⽇期⼤于并且等于 2017-01-01 的数据,⽽ before="2017-10-01"则是⼩于 2017-10-01 的数据。ip_ports=="80,443" 或者 ports=="80,443" 搜索同时开放80和443端⼝的ip资产(以ip为单位的资产数据)。ip_ports="80,443" 或者 ports="80,443" 搜索同时开放80和443端⼝的ip资产(以ip为单位的资产数据)。
FOFA网络空间安全搜索引擎的使用
weixin_71208450的博客
07-09 2123
FOFA主要针对公网上的资产进行探测,类似于谷歌地图上的建筑物(IP地址),虽然可以看到建筑物的外部结构和规模,但无法了解内部的情况。不同的是,这些数据不仅包括像谷歌或百度一样的网页,还包括像摄像头、打印机、数据库、操作系统等资产。我们可以使用FOFA搜索一些我们想要用的网址,比如最近比较火的ChatGPT,我们可以通过在FOFA上搜索网站标题,找到包含ChatGPT关键词的网站。FOFA是一款网络空间测绘的搜索引擎,旨在帮助用户以搜索的方式查找公网上的互联网资产。进入FOFA的官网,可以查询所有语法。
如何查找CMS的hunter或者FOFA语句
09-15
CMS(内容管理系统)的hunter或者FOFA语句是指用于在FOFA或类似的信息搜集平台上查找特定CMS指纹(即CMS的特征签名)的查询语句。这些指纹可以帮助安全研究人员或渗透测试人员快速定位目标网站所使用的CMS系统。下面是查找CMS指纹的一般步骤: 1. 了解CMS的特征:不同的CMS系统会有其独特的特征,比如特定的HTTP响应头、特定的文件路径、特定的元标签信息等。例如,WordPress可能会有一个名为“wp-includes”或“wp-content”的文件夹,或者特有的“generator”元标签。 2. 编写FOFA查询语句FOFA平台支持使用特定的查询语法来筛选信息。例如,要查找使用WordPress的网站,可以使用如下的查询语句: ``` http.response.body_like wp-content ``` 这条语句的意思是在HTTP响应体中查找包含“wp-content”的内容。 3. 使用通配符和逻辑运算符:为了提高查准率,可以使用通配符(如“*”)和逻辑运算符(如“and”, “or”)来构建更精确的查询语句。例如: ``` http.title LIKE "powered by %Wordpress%" ``` 这条语句会查找网页标题中包含“powered by”和“Wordpress”的网站。 4. 使用FOFA的高级查询功能:FOFA提供了许多高级查询功能,如“http.response.body_like”,“http.response.header_like”,“http.title_like”,“ip”等。这些功能可以帮助你从不同的维度进行信息检索。 5. 查看结果并验证:查询结果会返回一些可能的匹配项。之后,你可能需要访问这些网站,查看页面源代码或者使用其他工具进行验证,以确认网站是否真的使用了特定的CMS系统。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值