文章目录
一、FOFA
1.1简介
FOFA是网络空间资产测绘产品,我们知道google,baidu搜索你要的文字内容。但是现在的物联网(IoT)的设备信息确很难去搜索。比如:我想知道全球有多少CISCO产品,有多少个Wordpress网站?FOFA可以回答这些问题,也就是说FOFA可以用来快速的查询相应的资产的比如有多设备,或者公司下面有多少个子网站等等。不仅测试人员喜欢这种工具攻击者也很喜欢可以快速的查询到相应目标的资产情况以便下一步的进行。常用于资产收集
1.2 ip域名主机搜索
-
host=".gov.cn"
从url中搜索”.gov.cn”,搜索要用host作为名称
-
port="6379"
查找对应“6379”端口的资产
-
ip="1.1.1.1"
从ip中搜索包含“1.1.1.1”的网站
搜索要用ip作为名称 -
ip="220.181.111.1/24"
查询IP为“220.181.111.1”的C网段资产
-
is_ipv6=true
搜索ipv6的资产,搜索ipv6的资产,只接受true和false
-
is_domain=true
搜索域名的资产
搜索域名的资产,只接受true和false -
port_size="6"
查询开放端口数量等于"6"的资产
仅限FOFA会员使用 -
port_size_gt="6"
查询开放端口数量大于"6"的资产
仅限FOFA会员使用 -
port_size_lt="12"
查询开放端口数量小于"12"的资产
仅限FOFA会员使用 -
ip_ports="80,161"
搜索同时开放80和161端口的ip
搜索同时开放80和161端口的ip资产(以ip为单位的资产数据) -
ip_country="CN"
搜索中国的ip资产(以ip为单位的资产数据)。
搜索中国的ip资产 -
ip_region="Zhejiang"
搜索指定行政区的ip资产(以ip为单位的资产数据)。搜索指定行政区的资产
-
ip_city="Hangzhou"
搜索指定城市的ip资产(以ip为单位的资产数据)。
搜索指定城市的资产 -
ip_after="2021-03-18"
搜索2021-03-18以后的ip资产(以ip为单位的资产数据)。
搜索2021-03-18以后的ip资产 -
ip_before="2019-09-09"
搜索2019-09-09以前的ip资产(以ip为单位的资产数据)。搜索2019-09-09以前的ip资产
-
domain="qq.com"
搜索根域名带有qq.com的网站。
1.3 网站内容搜索
-
title="beijing"
从标题中搜索“北京”,也就是title标签中含有北京的网站
-
header="elastic"
从http头中搜索“elastic”,在head标签中含有elastic中的网站
-
body="网络空间测绘"
从html正文中搜索“网络空间测绘”
-
** js_name=“js/jquery.js”**
查找网站正文中包含js/jquery.js的资产,搜索网站类型资产,在script标签中引用该js库的网站
-
js_md5="82ac3f14327a8b7ba49baa208d4eaa15"
查找js源码与之匹配的资产
-
cname="ap21.inst.siteforce.com"
查找cname为"ap21.inst.siteforce.com"的网站,cname是网站别名查找网站别名为指定内容的网站
-
cname_domain="siteforce.com"
查找cname包含“siteforce.com”的网站
-
icon_hash="-247388890"
搜索使用此icon的资产。仅限FOFA高级会员使用,查询指定hash值的图标的网站
-
icp="京ICP证030173号"
查找备案号为“京ICP证030173号”的网站
-
status_code="402"
查询服务器状态为“402”的资产
1.4 地域解锁
-
country="CN"
搜索指定国家(编码)的资产。
-
region="Xinjiang"
搜索指定行政区的资产。
-
city="Ürümqi"
搜索指定城市的资产。
1.5 证书
-
cert="baidu"
搜索证书(https或者imaps等)中带有baidu的资产。
-
cert.subject="Oracle Corporation"
搜索证书持有者是Oracle Corporation的资产
-
cert.issuer="DigiCert"
搜索证书颁发者为DigiCert Inc的资产
-
cert.is_valid=true
验证证书是否有效,true有效,false无效,仅限FOFA高级会员使用
1.6 指纹搜索
-
jarm="2ad…83e81"
搜索JARM指纹,JARM 是一个主动式TLS服务端指纹工具
-
banner=users && protocol=ftp
搜索FTP协议中带有users文本的资产。
-
type=service
搜索所有协议资产,支持subdomain和service两种,搜索所有协议资产
-
os="centos"
搜索CentOS资产。
-
server=="Microsoft-IIS/10"
搜索IIS 10服务器。
-
app="Microsoft-Exchange"
搜索Microsoft-Exchange设备
-
** protocol=“quic”**
查询quic协议资产,搜索指定协议类型(在开启端口扫描的情况下有效)
-
fid="kIlUsGZ8pT6AtgKSKD63iw=="
查找相同的网站指纹
-
base_protocol="udp"
搜索指定udp协议的资产
-
org="LLC Baxet"
搜索指定org(组织)的资产。
1.7 时间区间
-
after=“2017” before="2017-10-01"
时间范围段搜索
asn="19551"
搜索指定asn的资产。
is_fraud=false
new
排除仿冒/欺诈数据
is_honeypot=false
排除蜜罐数据
仅限FOFA高级会员使用
二、shodan
三、钟馗之眼
钟馗之眼是一个检索网络空间节点的搜索引擎,使用后端分布式爬虫引擎的方式对全球的节点进行爬取分析,识别出设备类型、固件版本、开放端口、分布地点等信息,(注:中国地区资产只对中国IP及手机号码认证用户开放),常用于搜索Web资产,如果我们发现某个组件存在漏洞可以使用该引擎搜索相应的使用该组件的Web服务进行尝试利用
3.1逻辑符号
-
空格
空格在搜索框中输入“空格”则表示“或”的运算逻辑
service:"ssh" service:"http"
搜索ssh或http协议的数据
如下图检索出了http服务的信息,包括地点地址等等
-
+
加号表示逻辑运算符号中的且,也就是两个条件都需要满足
device:"router"+after:"2020-01-01"
搜索2020-01-01后路由器的数据
如下图检索出了路由器设备并且是Web服务还是什么服务都有检索出来
-
-
在搜索框中输入“-”则表示“非”的运算逻辑
country:"CN"-subdivisions:"beijing"
搜索中国地区内除北京的数据
-
()
在搜索框中输入“()”则表示“优先处理”的运算逻辑
(port:"80"+subdivisions:"加利福尼亚州")+before:"2020-01-01"
搜索2020-01-01前在加利福尼亚州开放的80端口数据
3.2 地理位置语法
-
country:"CN"
搜索国家地区资产,可以使用国家缩写,也可以使用中/英文全称如country:"中国"country:“china”
-
subdivisions:"beijing"
搜索相关指定行政区的资产,中国省会支持中文及英文描述搜索如subdivisions:"北京"和subdivisions:“beijing”
-
city:"changsha"
搜索相关城市资产,中国城市支持中文及英文描述搜索如city:"changsha"city:“长沙”
3.3 证书搜索
-
ssl:"google"
搜索ssl证书存在"google"字符串的资产,常常用来提过产品名及公司名搜索对应目标
3.4 IP及域名信息相关搜索
-
ip:"8.8.8.8"
搜索指定IPv4地址相关资产
-
ip:"2600:3c00::f03c:91ff:fefc:574a"
搜索指定IPv6地址相关资产
-
cidr:52.2.254.36/24
搜索IP的C段资产
cidr:52.2.254.36/16 为IP的B段资产 cidr:52.2.254.36/8 为IP的A段资产,如cidr:52.2.254.36/16cidr:52.2.254.36/8 -
** org:“北京大学” 或者organization:“北京大学”**
搜索相关组织(Organization)的资产,常用来定位大学、结构、大型互联网公司对应IP资产
-
isp:"China Mobile"
搜索相关网络服务提供商的资产
可结合org数据相互补充 -
asn:42893
搜索对应ASN(Autonomous system number)自治系统编号相关IP资产
-
port:80
搜索相关端口资产
目前不支持同时开放多端口目标搜索 -
hostname:google.com
搜索相关IP"主机名"的资产
-
site:baidu.com
搜索域名相关的资产
常常使用来搜索子域名匹配
3.5 指纹搜索
-
app:"Cisco ASA SSL VPN"
搜索思科ASA-SSL-VPN的设备
更多的app规则请参考"导航",在搜索框输入"思科"等关键词会有相关app提示 -
service:"ssh"
搜索对应服务协议的资产
常见服务协议包括:http、ftp、ssh、telnet等等(其他服务可参考搜索结果域名侧栏聚合展示) -
device:"router"
搜索路由器相关的设备类型
常见类型包括router(路由器)、switch(交换机)、storage-misc(存储设备)等等(其他类型可参考搜索结果 域名侧栏聚合展示) -
os:"RouterOS"
搜索相关操作系统
常见系统包括Linux、Windows、RouterOS、IOS、JUNOS等等(其他系统可参考搜索结果域名侧栏聚合展示) -
title:"Cisco"
搜索html内容里标题中存在"Cisco"的数据
3.6 时间节点区间搜索
-
after:“2020-01-01” +port:"50050"
搜索更新时间为"2020-01-01"端口为"50050"以后的资产
时间过滤器需组合其他过滤器使用 -
before:“2020-01-01” +port:"50050"
搜索更新时间在"2020-01-01"端口为"50050"以前的资产
时间过滤器需组合其他过滤器使用
3.7 其他
-
newJarm
Jarm是一个活动的传输层安全性(TLS)服务器指纹识别工具,详情参考:https://github.com/salesforce/jarm
jarm: "29d29d15d29d29d00029d29d29d29dea0f89a2e5fb09e4d8e099befed92cfa"
搜索相关jarm内容的资产
-
newDig
dig:"baidu.com 220.181.38.148"
搜索相关dig内容的资产 -
newIconhash
iconhash:"f3418a443e7d841097c714d69ec4bcb8"
通过 md5 方式对目标数据进行解析,根据图标搜索相关内容的资产,搜索包含“google”图标的相关资产
iconhash:"1941681276"
通过 mmh3 方式对目标数据进行解析,根据图标搜索相关内容的资产
搜索包含“amazon”图标的相关资产 -
newFilehash
filehash:"0b5ce08db7fb8fffe4e14d05588d49d9"
通过上传方式进行查询,根据解析的文件数据搜索相关内容的资产
搜索包含“Gitlab”解析的相关资产
四、谷歌
4.1 简介
谷歌是世界使用人数最多的搜索引擎,其功能非常的强大同时其收纳的信息非常多非常广,所以作为网络安全人员对其是非常喜爱的可以收集许多信息
4.2 常用语法与演示
4.2.1 常用符号
+
加号在谷歌语法当中表示的是并的意思,也就是说前面后面都必须要满足
张三
和 张三+百科
的区别,可以看到后者搜索出来的都是含有百科的而前者的话有很多是没有的,搜索得更加精确,比如我们在搜索一本书籍的时候就可以利用这个特性来确定作者是谁出版社是什么来精确搜索
”“
双引号表示的是整体搜索也是说必须是和在一起的一个词,如有限公司没有双引号可能有有限责任股份公司而加了就必须是XXX有限公司
将有限和公司拆开了,后者没有拆开当作的是一个整体来看待
AND
and也是表示并前后都满足才可以
intitle:后台管理
和 intitle:后台管理 AND inurl:admin.php
可以看到前者搜索了所有标题含有后台管理的网页后者更加精确搜索的不仅只有标题而且链接中含有admin.php的,搜索出来绝大部分都是后台管理的页面
OR
or表示也就是只需要一个满足就可以了
- site
表示指定格式的网址,如site:baidu.com表示网址中含有baidu.com的,可以使用来查询一个域名的子域名这种方式不同使用工具如挖掘进行请求这种方式更加隐蔽
site:bilibili.com
可以看到很多二级域名相同但三级域名不同的网址
- inurl
表示在链接当中含有指定字符的网页,可以用来搜索管理员页面也可以用来搜索一些含有漏洞的链接,比如jboss在指定目录下可能存在漏洞就可以利用这个语法进行搜索,也可以用来搜索sql注入漏洞如inurl:*.php?id=1
inurl:admin/login.php
可以看到搜索出来了很多的后台登录网页
- intitle
表示在标题当中含有指定的内容的网页
intitle:sql注入
- intext
没什么可以介绍的在内容当中搜索,site:xxx.com intext:@xxx.com搜索邮箱,intext:@xxx.com
- filetype
也没什么可以介绍的搜索指定的文件类型,如可以搜索一个ppt这些的,和site等联用查看含有敏感信息的网站site:xxx.com filetype:doc intext:pass,site:xxx.com filetype:inc
- info
查看指定站点的基本信息
- link
搜索所有链接到某个特定url的页面
- cache
在缓存当中搜索类似于百度的快照,有的时候网站可能将之前的一些内容删除了,但是谷歌有个缓存机制还是可以在缓存当中看到这个网页之前的信息
- related
搜索相关信息
4.3 综合使用
搜索含有敏感内容的网站
site:xxx.com intitle:mongod inurl:28017
site:xxx.com inurl:phpinfo.php
inurl:jsp/demo.jsp
(查找kindedit文件上传页面)