fofa

Posted 2021-03-08 smoke-star

概述

认真学习下fofa的使用。
fofa的查询将从标题、html内容、http头信息、url字段中搜索

查询语法参考

• title="abc"，从标题中搜索abc。例：标题中有北京的网站
• header="abc"，从http头中搜索abc。例：jboss服务器
• body="abc"，从html正文中搜索abc。例：正文包含Hacked by
• domain="qq.com"，搜索根域名带有qq.com的网站。
• host=".gov.cn"，从url中搜索.gov.cn，注意搜索要用host作为名词。例：政府网站、教育网站
• port="443"，查找对应443端口的资产
• ip="1.1.1.1"，从ip中搜索包含1.1.1.1的网站，注意搜索要用ip作为名称。例：查询ip为220.18.1.1的网站，如果想要查询网段，可以是：ip="220.18.1.1/24"
• protocol="https"，搜索指定协议类型（在开启端口的情况下有效）。例：查询https协议资产
• city="hangzhou"，指定搜索城市的资产
• region="zhejiang"，搜索指定行政区的资产
• county="CN"，搜索指定国家（编码）资产
• cert="google"，搜索证书（https或imaps等）中带有google的资产
• banner=users&&protocol=ftp，搜索FTP协议中带有users文本的资产
• type=service，搜索所有协议的资产，支持subdomain和service两种
• os=windows，搜索Windows资产
• server="Microsoft-IIS/7.5"，搜索IIS 7.5的服务器
• app="海康威视-视频监控"，搜索海康威视设备
• after="2017" && before="2017-20-01"，时间范围搜索。注意：after是大于并且等于，before是小于，这里是大于等于2017-01-01且小于2017-10-01
• asn="19551"，指搜索asn资产。
• org="Amazon.com,inc."，搜索指定org（组织）的资产
• base_protocol="udp"，指定搜索udp协议的资产
• is_ipv6=true，搜索ipv6的资产，直接受true或false
• ip_ports="80,443"，或者ports="80,443"，搜索同时开放80和443端口的ip资产（以ip为单位的资产数据）
• ip_ports=="80,443"，或者ports=="80,443"，搜索同时开放80和443端口的ip资产（以ip为单位的资产数据）
• ip_country="cn"，搜索中国的ip资产（以ip为单位的资产数据）
• ip_region="zhejiang"，搜索指定行政区的ip资产（以ip为单位的资产数据）
• ip_city="hangzhou"，搜索指定城市的ip资产（以ip为单位的资产数据）
• ip_after="2019-01-01"，搜索2019-01-01以后的ip资产（以ip为单位的资产数据）
• ip_before="2019-01-01"，搜索2019-01-01以前的ip资产（以ip为单位的资产数据）

高级搜索：
可以使用()、&&、||、!= 等符号，如：

title="powered by" && title!="discuz"
title!="powered by" && body="discuz"
(body="content="WordPress"||(header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/"))&&host="gov.cn"

新增==完全匹配的符号，可以加快搜索速度，不如查找qq.com所有host，可以是domain=="qq.com"
关于建站软件的搜索语法参考：组件列表

注意事项
如果查询表达式有多个与或关系，尽量在外面用()包含起来。
接下来，就是发挥想象力的时候了。