FOFA 搜索引擎小工具使用说明

Mr.Wu 823 1

本来我是真没准备写这么一篇文章的,在我的理解里面,一个玩渗透的,搜索引擎语法是必修课,不应该出现不会用的情况,工具页面我也添加了语法说明,一清二楚,不应该啊,奈何还是有人不会用....
我是真的觉得这是个神器,而且也不想让博客会员们花的钱不值得,所以还是决定写这么一篇说明吧

FOFA介绍

你问我为什么觉得这是神器?

比如你知道某套 CMS 的一个漏洞,那么如果这个漏洞是通杀的呢?

比如曾经火遍一时的 织梦漏洞:

header="/plus/search.php" && body="DEDECMS"

我用这条语句能搜索出整个互联网上外网的织梦网站,然后在用漏洞 EXP 批量测试,是否帅呆了?

FOFA 官网地址:https://fofa.so/
基于 FOFA API 的查询小工具地址:https://www.mrwu.red/user/?pd=fofa (内置FOFA高级会员,可查1000条结果)

FOFA语法使用说明


工具中自带语法说明介绍,如上图

这里我简单说下语法的规律,是如何根据语法查询整个互联网外网的同特征网站的

比如title="登陆" 从标题中搜索“登陆”

在比如 header="Thinkphp" 从网站请求头或者响应头中选择特征

body="注册"	从网站的HTML页面代码中搜索特征
ip="127.0.0.1"  根据网站的IP搜索
domain="qq.com"  host="qq.com" 这2个是根据网址特征搜索

然后在说下多条件搜索语法:

图中的语法意思:搜索 URL 地址包含 mrwu.red 并且 响应或者请求头中带有 wordpress 字样

&& 与、含 的意思 类似SQL语句中的 and

|| 和、或的意思 类似SQL语句中的 or

其他的语法我就不过多介绍了,多看看语法说明中的文档,然后自己在尝试查询下语法就懂了。

打赏
发表评论 取消回复
表情 图片 链接 代码

  1. yaoruanwen
    yaoruanwen Lv 1

    我爱你!

分享
微信
微博
QQ