Fofa绕过查询限制分析
2023-3-22 11:43:53 Author: LemonSec(查看原文) 阅读量:52 收藏

今天在t00ls上看到有人公开了一个用go写的工具


https://www.t00ls.net/thread-61604-1-1.html

抓包查看

作者虽然没有开源,针对其中fofa查询我们分析看看。原理很简单,咱们直接使用proxifier全局抓包看看

1.设置代理

2.设置rule

3.执行抓包

./goon_amd64_mac -mode fofascan -key port="8081" -num=-1

4.查看结果

burp这里得到了每次的请求
GET /api/v1/search/[email protected]&key=a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2Host: fofa.soAccept-Encoding: gzip, deflateUser-Agent: Go-http-client/2.0Connection: close

包文分析

我们把参数qbase64解码看看
port=8081 && before=2021-06-29 && after=2020-06-30
port=8081 && before=2021-06-29 && after=2021-06-28
通过设置不同的查询语句,来获取结果,结果中会存在重复的数据。

结果分析

我尝试使用高级会员账号进行查询
./goon_amd64_mac -mode fofascan -key port="7001" -num=-1
得到了123W条数据
在sublime中,使用正则截取每行出现的第一个ip
\d*\.\d*\.\d*\d\.\d*\:\d*
符合 ip:port格式的是 122W条数据
再通过去重得到result在sublime中排序edit - sort lines
查找目标为
^(.+)$[\r\n](^\1$[\r\n]{0, 1})+
替换为
\1\n
最后得到了70W个结果
由于没有对结果进行处理,所以结果中存在大量重复ip,不过通过时间条件来扩大查询结果,这操作还是骚的。

修复方式:

  1. 限制每个账号每小时对fofa服务器请求次数。(多个账号进行绕过)
  2. 限制同一个IP对fofa服务器请求次数。(代理池绕过)
  3. 取消普通会员及高级会员账号的before、after的条件查询。
转自:白帽子飙车路,如侵权请后台留言删文~
侵权请私聊公众号删文

 热文推荐  

欢迎关注LemonSec
觉得不错点个“赞”、“在看“

文章来源: http://mp.weixin.qq.com/s?__biz=MzUyMTA0MjQ4NA==&mid=2247543372&idx=2&sn=6fb3c74655a7bfa21a2d9b8aba62c90d&chksm=f9e34517ce94cc01d000b4969a6a2b51388480115dd19ec320153c8d04474e57f0de2803f18a#rd
如有侵权请联系:admin#unsafe.sh