什么是FOFA？

FOFA是一款非常强大的搜索引擎，FOFA（网络空间资产检索系统）是世界上数据覆盖更完整的IT设备搜索引擎，拥有全球联网IT设备更全的DNA信息。探索全球互联网的资产信息，进行资产及漏洞影响范围分析、应用分布统计、应用流行度态势感知等。相对于shodan来说FOFA的优点就是更加本土化，拥有更多的域名数据，建立了全球最大的资产规则集，而且现在已经更新了识别蜜罐的功能。

入门语法

fofa自带查询语法参考，根据参考自行修改即可

常用语法

1. title网站标题

例如我们要搜索title中包含鹏组安全的资产。

title="鹏组安全"

获取到1条独立IP的资产

2、body页面内容

body可以通过页面中包含的特定字符串来搜索资产

body="鹏组安全"

3. domain域名

搜索域名中包含pgpsec.cn的资产，此方法相当于子域名的搜索。

domain="pgpsec.cn"

进一步收集

有各种规则，点击直接自动添加语法进行数据筛选，其中的分类包括：

如类型分布、年份、特征、国家/地区排名、端口排名、Server排名、协议排名、操作系统排名、网站标题排名、证书持有者排名、证书有效性、ASN排名、组织排名、TCP/UDP、IPV4/IPV6; 等等，可以查找到自己想要的资产

举一个例子，其他操作具体自行尝试可以跳转查询在中国地区跟xxx.com的相关资产，以此类推，可以进一步匹配资产。入门相关语法的用法根据官方规则，直接无脑点击，修改即可。

进阶用法：

FOFA在实战中定位资产归属，找到突破口

FOFA 的工作原理是什么？

有些人觉得我不需要关心Fofa的工作原理，我只需要找到我想要的东西就行。其实你可以找到一部分渗透中目标的信息，通过title搜索目标的信息大家都会，你能搜到别人也能搜到，你能打下来别人也肯定能打下来，那么我们该怎么找别人找不到的资产呢？这就需要你去深入理解Fofa的工作机制。

fofa是什么

fofa的收录是基于端口扫描的收录，底层原理就类似一个扫全网的zmap加上各种指纹识别的脚本和规则来维护的，基于：IP、端口、指纹、部分域名子域名的关系数据库。

什么样的东西可以被fofa收录

上面说过了，fofa是基于IP和端口来决定什么可以入库，什么东西ta入不了库，也不可能入得了库的。

举个栗子

上面列举了一些可能被收录的和不会被收录的资产，fofa搜索开始之前就应该了解，自己搜索什么可以搜到东西，而搜索什么不可能找到东西。FOFA搜索语法 主要分为检索字段以及运算符，所有的查询语句都是由这两种元素组成的。

目前支持的检索字段包括如下

domain，host，ip，title，server，header，body，port，cert，country，city，os，appserver，middleware，language，tags，user_tag等等，支持的逻辑运算符包括：= ，==，!= ，&&，||

打点思路

在漏洞库平台上，爆出了新的漏洞之后，用fofa搜索查找到符合条件的站，此方法也适用于历史漏洞。

一些常见平台

https://www.exploit-db.com/
https://sploitus.com/
https://securitytracker.com/
https://github.com/

例如：查找可能存在log4j漏洞的组件

搜索语法如下：

app="APACHE-ActiveMQ"
app="Jenkins"
app="RabbitMQ"
app="Apache-log4j2-Web"
app="Jedis"
app="Apache_OFBiz"
app="APACHE-tika"
app="泛微-协同办公OA"
app="致远互联-FE"
app="jeewms"
app="APACHE-Skywalking"
app="Struts2"
app="APACHE-Shiro"
app="JEECMS"
app="JeeSite"
app="APACHE-dubbo"
app="OPENCms"
app="JEECG"
app="Jeeplus"
app="MyBatis"
app="vmware-SpringBoot-Framework"
app="APACHE-Solr"
app="Map/Reduce"
app="CLOUDERA-Hadoop-Hue"
app="splunk-日志分析"
app="vmware-vCenter"
app="APACHE-Storm"
app="APACHE-Druid"
app="JavaMelody" 
app="openNMS-产品" 
app="APACHE-Unomi" 
app="ECLIPSE-jetty"
app="elastic-Elasticsearch"
app="RedHat-Jboss" 
app="Openfire"
app="Oracle-BEA-WebLogic-Server"
app="Oracle-Weblogic_interface_7001"
app="Oracle-BI-Publisher-Enterprise"
app="vmware-vSphere-Web-Client"
app="RedHat-JBoss-AS"
..........

除了log4j之外，上面这些资产在网上也有各种爆出来的exp可以打根据实际需要具体分析 进一步确定资产则是要加上排除条件

搜索spring为例

domain="xxx.com" && country="CN" && app="vmware-SpringBoot-Framework"

随机挑选一名幸运观众，页面如下除了使用app="vmware-SpringBoot-Framework"之外 还可以使用body语法，查看页面源码即可得到

body=" Whitelabel Error Page"

效果也是一样的 同理，也可以使用body搜索xxx.com、搜索该网站独有的一些”标志” 例如freebuf底下显示这么一行，或者查看源码查看独有的“标志“，结合其他语法可能会有意外收获

一些小技巧

一、逻辑运算符

高级查询，其实也很简单，就是多个基础查询语句用逻辑连接符拼成的语句

&&:逻辑与
||：逻辑或 -
!=:逻辑非
利用高级搜索可以更细致的了解网络空间中每个用户关注的资产信息。
title="powered by" && title=discuz | 
title="powered by" && body=discuz
( body="content="WordPress" || (header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/") ) && host="xxx.com"
新增完全匹配的符号，可以加快搜索速度，比如查找qq.com所有host，可以是domain"qq.com"
关于建站软件的搜索语法请参考：Fofa规则列表https://fofa.info/library

二、icon搜索

icon是网站的图标也就是每个网站title上显示的图片

例如小米官网

可以直接将ico图标拖进fofa进行搜索

通过icon可以搜索到所有使用了相同icon的站点，但是需要注意的是这个文件任何网站都可以使用，所以会有非小米官方的资产被收集到。并且小米前一阵子更换了新的icon，所以一定会有旧的资产没有更换为新的icon，所以大家掌握方法的时候也需要把实际问题带入进来

三、通过JavaScript文件查询

通过页面中包含的js文件进行查询定位，比如processFlow的官网，使用Chrome浏览器访问：https://processflow.sharehoo.cn，control+u 查看源代码

js_name="ruoyi/login.js"

这种使用方法和body实际使用起来类似

四、证书搜索

使用fofa搜索证书可以查找同类证书网站，还可以查找真实ip 

搜索使用某一证书的特定IP段内主机信息，说人话就是如果要获取某一企业（证书）在指定IP段里面托管了多少服务，当然也可以改成指定host被解析到多少主机上（某种程度上可以判断CDN（理论上哈哈））这样的话就可以在某些大型对抗活动中，在资产信息收集中就可以扩展很多面了） 

网站的网址左边有个小锁一样的东西，此处可以查看证书和序列号，通过序列号进制转换可以查找domain="xxx.com",访问网站

查看证书(XXXXXXXXXXXX95415f9) 证书转成10进制(XXXXXXXXXXXXXXXXX82149369) 

在线进制转换：https://tool.lu/hexconvert/

cert="XXXXXXXXXXXXXXXXX58812715313681"

或者直接搜索域名xxx.com Serial Number 可用来fofa搜索

五、使用Fofa搜索开放的Python服务

在很多场景下我们会用临时的web服务，比如python

server="SimpleHTTP" && title="Directory listing for"

六、找同框架网站

例子，查找thinkphp的网站

搜索HTTP响应头中含有"thinkphp"关键词的网站

header="thinkphp"

在源码里不难发现基本都是同类型框架

七、参与多人运动

protocol="beacon" || protocol="cobaltstrike"

dddd

八、文件上传

在前端进行文件上传时，Form表单需要设置
<form action="****" method="post" enctype="multipart/form-data">
文件选择时，input标签的格式为：
<input type="file" name="****" />
结合这两个特性，就可以使用FOFA发现页面的文件上传接口，如：

body="method=\"post\" enctype=\"multipart/form-data\"" && body="<input type=\"file\""

结合之前的技巧使用在打点中更容易找到突破口

九、使用识别cms的方法来fofa搜索

很多cms是通过一些cms特有的图标、body、title等等，那么我们可以通过此用法反推fofa搜索语句，类似指纹识别，

参考

https://github.com/lemonlove7/web_finger

例子

[  {    "name": "Dell-Printer",    "rule": "title=\"Dell Laser Printer\"",    "program": ""  },  {    "name": "HP-OfficeJet-Printer",    "rule": "title=\"HP Officejet\" || body=\"align=\"center\">HP Officejet\"",    "program": ""  },  {    "name": "Biscom-Delivery-Server",    "rule": "body=\"/bds/stylesheets/fds.css\" || body=\"/bds/includes/fdsJavascript.do\"",    "program": ""  },  {    "name": "DD-WRT",    "rule": "body=\"style/pwc/ddwrt.css\"",    "program": ""  }]

十、关于其他平台

例子：关于WebLogic XMLDecoder反序列化漏洞

我是这么做笔记的，表哥们可以自行参考，由于规模太大，不可能每个漏洞都写，对于刚入门来说可以把你遇到的常见的漏洞自己整理一下，方便后期的快速打点。
WebLogic XMLDecoder反序列化漏洞

fofa:app="Weblogic_interface_7001"钟馗之眼:server:Weblogic port:7001shodon：Weblogic country:"CN"

body="indeterminate" && body="MainController" && header="X-Powered-By: Express"

body="s1v13.htm"body="admin" server="tomcat"

body="get all proxy from proxy pool"body="miner start"

(header="uc-httpd 1.0.0" && server="JBoss-5.0") || server="Apache,Tomcat,Jboss,weblogic,phpstudy,struts"

body="webshell -> http://{ip}:{port}/?cmd=ifconfig"

app="webcamXP"

title="疫情" &&(title="防控"||title="监控") && country="CN"

body="hacked by"

title="Site not found · GitHub Pages" && server=="cloudflare"

body="x.aspx" && body="asp"

body="UA-111801619-3"

body="intitle:"index of" squirrelmail/"

body="asp;.jpg"

body="admin" && body="123456" && title="登录"

header="HTTP/1.1 404 Not Found Content-Type: text/plain Date:"||protocol="cobaltstrike"||cert="Serial Number: 146473198"

(body="password.txt" || body="密码.txt") && title="index of"

body="SSPanel-Uim"

title="GM管理后台" title="传奇后台" body="GM校验码"body="选择区服" && body="充值" && body="后台"

title="X-Ray Report" || body="Powered by xray"

title="vulscan"

body="<a href= "staff">STAFF</a >" && body="<a href="tos">"

title="指挥" && title="登录"

body="img/mhn_logo.png" && body="world-map"

title=="社工库" || ((title="社工库" && title="系统") ||(title=="社工库查询" ))

body="网站管理员登陆" && port="8090"

title="Index of" && body="rar"

title="webcam 7" && body="Live View"

port="600001" && body="login_chk_usr_pwd"

title=="欢迎使用RippleOS"

(server="SimpleHTTP/0.6 Python/3.6.3" || server="SimpleHTTP/0.6 Python/3.6.8" || server="SimpleHTTP/0.6 Python/3.7.0" || server="SimpleHTTP/0.6 Python/3.7.1" || server="SimpleHTTP/0.6 Python/3.7.2" || server="SimpleHTTP/0.6 Python/3.7.3" || server="SimpleHTTP/0.6 Python/3.7.4" || server="SimpleHTTP/0.6 Python/3.7.5" || server="SimpleHTTP/0.6 Python/3.7.6") && title="Directory listing for"

body="tmp_downloadhelper_iframe" && body="mr_15"

title="情报中心"

port="7001" && app="Weblogic_interface_7001"

body= "var c =Array.prototype.slice.call(arguments,1):return function() {var d=c.slice();"

title="Burp Suite" && body="Proxy History"

pagespeed， mod_bwlimited， mod_auth_passthrough， mod_auth_pam， mod_fastcgi， mod_jk， mod_perl， mod_python， mod_rack， mod_rails， mod_ssl， mod_wsgi， mod_antiloris

doubleclick_ad， baidu广告联盟， Google_AdSense， Open_AdStream， adinfinity， adriver

squid， kangle反向代理， Varnish， Aicache， SJSWPS_ OiWPS， HAProxy_Report

PHP， ASP.NET， python， ruby， jsp， perl， nodejs， ASP

jquery， bootstrap， d3， jquery-ui， yui， AlloyUI

jiathis， ujian， 百度分享， joomla-facebook， addthis， hellobar

百为路由， 锐捷NBR路由器， mikrotik， 中兴路由器， h3c路由器， jcg无线路由器， D-Link_VoIP_Wireless_Router， arrisi_Touchstone， ZyXEL， Ruckus， Motorola_SBG900， Wimax_CPE， Cisco_Cable_Modem， Scientific-Atlanta_Cable_Modem， rap， ZTE_MiFi_UNE， DI-804HV， HuaweiHomeGateway， TP-LINK无线路由器

uyan， disqus

google-analytics， cnzz， baidu统计， 51la， CNZZ统计， awstats_misc_tracker， advancedwebstats， hubspot， 51yes， Piwik

ThinkPHP， Swiftlet， Aspnetmvc， CodeIgniter， ColdFusion， WebObjects， cakephp， Django， zikula_framework， NetteFramework， Fat-FreeFramework， Play-Framework， Restlet-Framework， Kohana-Framework， flow_framework， SIMIT_framework， axis2-web

mongodb， elasticsearch， phpMyadmin， MVB2000， GPSweb， Tumblr， phpinfo， AD_RS设备， FrontPageServerExtension， 认证页面， TCN协议， sharepoint， MS-Author-Via， 3COM_NBX， wspx， rack-cache， Dnnoutputcache， Iisexport， Oraclea-DMS， P3p_enabled， X-72e-Nobeian-Transfer， ManagedFusion， Adblock， Blackboard， LiquidGIS， Cocoon， Wp-Super-Cache， pagespeed， Alternate-Protocol， unbouncepages， lemis管理系统， OpenSSL， mod_bwlimited， mod_auth_passthrough， FreeboxOS， SMA_Sunny_Webbox， Wimax_CPE， Aethra_Telecommunications_Operating_System， Scientific-Atlanta_Cable_Modem， rap， ZTE_MiFi_UNE， 用友商战实践平台， moosefs， AirLink_modem， CCProxy， APC_Management， HuaweiHomeGateway， TP-LINK无线路由器， 蓝盾BDWebGuard， 护卫神网站安全系统， phpDocumentor， ColdFusion， Adobe_ CQ5， Adobe_GoLive， Adobe_RoboHelp， Amaya， PHP-CGI， Synology_NAS， OpenMas， __VIEWSTATE， Chromelogger， Communique， recaptcha， IPFire， TerraMaster， 创星伟业校园网群， 正方教务管理系统， UFIDA_NC， 北创图书检索系统， Facebook_insights， squarespace建站， Bad_Behavior， Azure_ARR， Tncms， 北京清科锐华CEMIS， RG-PowerCache内容加速系统， dayrui系列产品， Privoxy代理， wordpress_qTranslate， DVWA， sugon_gridview， blog_fc2， LiteSpeed_Web_Admin_Console， SLTM32_Configuration， SHOUTcast， Piwigo， seeyoo广告机， milu_seotool， Moxa Nport串口服务器， CISCO_EPC3925， CASino， metasploit

thawte_ssl_cert， wosign_ssl_cert， webtrust_cert， globalsign_cert， GeoTrust_cert

360网站安全检测， teamportal

jira， fisheye， VisualSVN， Redmine， zentao， Bugzilla， Phabricator， reviewboard， Hudson， Jenkins， testlink， trac， gitlab， mantis， Mercurial

LuManager， 主机宝， wdcp管理系统， LANMP一键安装包， UPUPW， wamp， easypanel， awstats_admin， awstats， uPlusFtp， Cactiez， Cacti， CrushFTP， HFS， WHM， moosefs， LUM服务器管理， 护卫神主机管理， cpanel， bacula-web， Webmin， Directadmin， Synology_DiskStation， Puppet_Node_Manager

易瑞授权访问系统， MVB2000， SonicWALL， NetShare_VPN， pmway_E4_crm， srun3000计费认证系统， Dolibarr， Parallels Plesk Panel， EasyTrace(botwave)， 管理易， 亿赛通DLP， huawei_auth_server， 瑞友天翼_应用虚拟化系统 ， Vmware_vFabric， ICEFLOW_VPN， 360企业版， 用友erp-nc， 深信服ssl-vpn， 天融信VPN， Array_Networks_VPN， 天融信防火墙， o2security_vpn， zabbix， juniper_vpn， F5_BIGIP， CEMIS， DI-804HV， CCProxy， 梭子鱼设备， Synology_NAS， zenoss， Splunk， OpenMas， Ultra_Electronics， NOALYSS， Nagios， ALCASAR， orocrm， Adiscon_LogAnalyzer， Munin， opennms， MRTG， ganglia， 元年财务软件， UFIDA_NC， Webmin， 锐捷应用控制引擎， Storm， 网神VPN， FortiWeb， Centreon， FortiGuard， PineApp， ntop， CDR-Stats， GenieATM， Spark_Worker， Spark_Master， Kibana， CISCO_VPN， UcSTAR， i@Report， 帕拉迪统一安全管理和综合审计系统， openEAP， Dorado， 金龙卡金融化一卡通网站查询子系统， 一采通， 埃森诺网络服务质量检测系统， 惠尔顿上网行为管理系统， ACSNO网络探针， 绿盟下一代防火墙， 用友U8， 华为_HUAWEI_SRG1220， 华为_HUAWEI_SRG2220， 华为_HUAWEI_ASG2100， 华为_HUAWEI_SRG3250， 华为_HUAWEI_ASG2050， 华为（HUAWEI）安全设备， 华为（HUAWEI）Secoway设备， Fireeye

蓝讯， 网宿， 帝联， 快网， Webluker， 西部数码， gocdn， Powercdn， Akamai， QingCloud， amazon-cloudfront

Sun[tm]， ZendServer， squid， JBoss_AS， oracle_applicaton_server， IIS， nginx， tomcat， Apache， Tengine， IBM_HTTP_Server， GSE， LiteSpeed， Microsoft-HTTPAPI， ngx_openresty， Zeus， Resin， Netscape-Enterprise， Phusion， webrick， Jetty， Sun-ONE-Web-Server， Oracle-Application-Server， JBoss， kangle反向代理， Varnish， Aicache， SJSWS_ OiWS， AOLserver， Lotus-Domino， gunicorn， Allegro-Software-RomPager， Starlet， nginx_admin， FortiWeb， GlassFish， Privoxy， 东方通应用服务器TongWeb， Mbedthis-Appweb

一启快， 360主机卫士， 安全狗， Websecurity_WAF， webray， weidun， 安慧网盾， Safe3WAF， AnZuWAF， DnP Firewall， Kerio_WinRoute_Firewall， Dotdefender， Citrix_Netscaler， Mod_Security， PaloAlto_Firewall， WebKnight， Sucuri， 梭子鱼防火墙， 云锁

dd-wrt， 锐捷NBR路由器， mikrotik， 中兴路由器， h3c路由器， jcg无线路由器， Comcast_Business_Gateway， AirLink_modem

phpshe， ThinkSAAS， e-tiller， DouPHP， twcms， SiteServer， Joomla， HDWiki， kesionCMS， CMSTop， ESPCMS， 74cms， Foosun， PhpCMS， Hanweb， Drupal， cmseasy， wordpress， DedeCMS， ASPCMS， MetInfo， Npoint， 小蚂蚁， 捷点JCMS， 帝国EmpireCMS， JEECMS， emlog， IdeaCMS， TCCMS， DIYWAP， supesite， webplus， Dolibarr， ExpressionEngine， iAPPS， Liferay， Telerik Sitefinity， PageAdmin， sdcms， EnterCRM， 易普拉格科研管理系统， 苏亚星校园管理系统， 313自助建站， trs_wcm， we7， 1024cms， 360webfacil_360WebManager， 6kbbs， ABO_CMS， Acidcat_CMS， bit-service， 云因网上书店， DotNetNuke， plone， Kooboocms， unknown_cms， chanzhi， unknown_cms_rcms， MediaWiki， Typecho， Z-Blog， Z-BlogPHP， EleanorCMS， BitrixSiteManager， FOXI BIZzz， BPanelCMS， SubrionCMS， WMSN， TwilightCMS， TechartCMS， 2z project， phpDocumentor， 微门户， Osclass， webEdition， orocrm， 创星伟业校园网群， BoyowCMS， 正方教务管理系统， UFIDA_NC， phpweb， weebly， 地平线CMS， HIMS酒店云计算服务， Tipask， 北创图书检索系统， squarespace建站， 微普外卖点餐系统， 逐浪zoomla， Zikula_CMS， mozartframework， UMI.CMS， EasywebCMS， synkronvia， sitecore， MuraCMS， irecms， typo3， SamanPortal， 北京清科锐华CEMIS， ThinkSNS， asp168欧虎， 擎天电子政务， easysite， 北京阳光环球建站系统， MaticsoftSNS_动软分享社区， FineCMS， Diferior， DokuWiki， WebsiteBaker-CMS， concrete5， 国家数字化学习资源中心系统， 某通用型政府cms， PigCms， 天柏在线培训/考试系统， 万户网络， rcms， 全国烟草系统， O2OCMS， 一采通

EdmWebVideo， iDVR， edvr， AVCON6， Polycom， Plesk， techbridge， NETSurveillance， 海康威视（Hikvision）， nvdvr， DVR camera， TRSMAS， Macrec_DVR， Aethra_Telecommunications_Operating_System， ECOR， MOBOTIX_Camera， OnSSI_Video_Clients， Linksys_SPA_Configuration ， eagleeyescctv， dasannetworks， 海康威视iVMS， 佳能网络摄像头(Canon Network Cameras)， NetDvrV3

cloudflare， 加速乐， Incapsula， 百度云加速， 360网站卫士， 安全宝， BinarySec， Sucuri， NetteFramework

phpbb， phpwind， discuz， vBulletin， 6kbbs， IP.Board

fangmail， 腾讯企业邮箱， MDaemon， 亿邮， 网易企业邮箱， TurboMail， magicwinmail， 万网企业云邮箱， bxemail， Coremail， imailserver， exchange， Zimbra， Lotus， Roundcube， Horde， Atmail， iGENUS_webmail， anymacro， mirapoint， iredadmin(Roundcube?)， SquirrelMail， U-Mail， ExtMail， Spammark邮件信息安全网关

360站长平台， baidu站长平台， google站长平台， sogou站长平台

Zen Cart， ECShop， Shop7Z， 同城多用户商城， iWebShop， eaststorecreeator， buscape， 1und1， 3DCART， cart_engine， Magento， OpenCart， ECMall， PrestaShop， Bigcommerce， TinyShop， hishop， Maticsoft_Shop_动软商城， shopify， hikashop

华天动力OA(OA8000)， 通达OA， OA(a8/seeyon/ufida)， yongyoufe， pmway_E4_crm， Dolibarr， PHPOA， 78oa， WishOA， 金和协同管理平台， 泛微协同办公OA， 万户ezOFFICE， ranzhi， Zimbra， Lotus， OA企业智能办公自动化系统， ecwapoa， ezOFFICE

翻到文章最底部点击“阅读原文”下载链接