freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

FOFA快速发现互联网资产
2021-09-18 14:20:18

FOFA 是白帽汇推出的一款网络空间搜索引擎,它通过进行网络空间测绘,能够帮助研究人员或者企业迅速进行网络资产匹配。

我们可以利用相关搜索条件语句,进行精准的搜索。

1631945617_61458391334b9d902f6e6.png!small

甚至还有更高级的搜索语法

可以使用括号 和 && || !=等符号,如

title="powered by" && title!="discuz"

body="content=WordPress" || (header="X-Pingback" && header="/xmlrpc.php" && body="/wp-includes/") && host="gov.cn"

举个例子:
Apache solr XML 实体注入漏洞

fofa搜索:

app="Solr" && port="8983"

搜索结果:
1631945803_6145844b8bccd036c7937.png!small

我们就可以根据搜索结果利用披露出的漏洞利用手法进行验证。

FOFA搜索引擎十分强大。需要在学习过程中综合利用,发挥想象力,找寻资产的特征。

# fofa
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者