网络空间搜索引擎- FOFA的使用技巧总结

直接回答

• FOFA 是一个网络空间搜索引擎，主要用于查找互联网资产，适合研究人员和企业进行漏洞分析和资产管理。
• 搜索关键词不区分大小写，支持多种字段如标题、域名、端口等。
• 使用逻辑运算符（如 AND、OR）可以组合条件，精确查找。
• 建议结合官方文档和社区资源学习高级用法。

基础使用技巧

FOFA 的搜索非常灵活，以下是一些基础技巧：

• 关键词搜索：如 title="后台管理" 查找标题中包含“后台管理”的网站。
• 字段过滤：如 port="3388" && country=CN 查找开放 3388 端口且位于中国的 IP。
• 证书搜索：如 cert="phpinfo.me" 查找包含特定关键词的证书。

高级搜索技巧

• 使用 ports="3306,443,22" 查找同时开放多个端口的 IP，ports=="3306,443,22" 为精确匹配。
• 结合逻辑运算符，如 header="x-pingback" || header="thinkphp" 查找满足任一条件的网站。

学习资源

更多详情可参考：

• 官方文档：https://fofa.so/help
• GitHub 资源：https://github.com/FofaInfo/Awesome-FOFA

---

调查笔记

FOFA（全称 FOFA Search Engine）是一个专注于网络空间的搜索引擎，隶属于北京华顺信安科技有限公司，通过持续主动探测全球互联网资产，积累了超过 40 亿资产数据和 350,000 多条指纹规则，能够识别大多数软件和硬件网络资产。它主要用于帮助研究人员和企业快速匹配网络资产，如漏洞影响范围分析、应用分布统计和应用流行度排名统计等，广泛应用于网络安全领域，如漏洞扫描、资产发现和威胁情报分析。

以下是 FOFA 使用技巧的详细总结，涵盖基础语法、高级技巧和相关资源，旨在为用户提供全面的指导。

基础搜索语法与技巧

FOFA 的搜索功能强大，支持多种字段和逻辑运算符，以下是具体使用方法：

• 关键词不区分大小写：FOFA 的搜索关键词不敏感于大小写，方便用户输入。例如，title="后台管理" 与 title="后台管理"效果相同。
• 字段搜索示例：以下是一些常见字段的搜索方式，展示了如何精确定位目标资产：
  • title="关键词"：搜索页面标题中包含指定关键词的网站或 IP，例如 title="后台管理" 查找标题中包含“后台管理”的网站。
  • header="关键词"：搜索 HTTP 响应头中包含指定关键词的网站或 IP，例如 header="thinkphp" 查找使用 ThinkPHP 的网站。
  • body="关键词"：搜索 HTML 正文中包含指定关键词的网站或 IP，例如 body="Welcome to Burp Suite" 查找公开的 Burpsuite 代理。
  • domain="关键词"：搜索根域名中包含指定关键词的网站，例如 domain="itellyou.cn"。
  • host="关键词"：搜索域名中包含指定关键词的网站，例如 host="login" 查找包含“login”的域名。
  • port="端口号"：搜索指定端口开放的 IP，例如 port="3388" 查找开放 3388 端口的 IP。
  • ip="IP地址/段"：搜索指定 IP 或 IP 段，例如 ip="120.27.6.1/24" 或 ip="120.97.56.1"。
  • cert="关键词"：搜索证书（如 HTTPS、IMAPS 证书）中包含指定关键词的资产，例如 cert="phpinfo.me"。
  • ports="端口1,端口2,端口3"：搜索同时开放指定多个端口的 IP，例如 ports="3306,443,22"。
  • ports=="端口1,端口2,端口3"：搜索仅开放指定多个端口的 IP（精确匹配），例如 ports=="3306,443,22"。
• 逻辑运算符：FOFA 支持使用逻辑运算符组合条件，增强搜索精度：
  • &&：AND 运算符，表示同时满足多个条件，例如 port="3388" && country=CN 查找开放 3388 端口且位于中国的 IP。
  • ||：OR 运算符，表示满足任意一个条件，例如 header="x-pingback" || header="thinkphp" 查找 HTTP 响应头中包含“x-pingback”或“thinkphp”的网站。

高级搜索技巧与应用场景

除了基础语法，FOFA 还支持更复杂的搜索策略，以下是一些高级技巧：

• 地理位置过滤：通过 country="国家代码" 可以限制搜索结果到特定国家，例如 country=CN 表示仅搜索中国的资产，结合端口搜索如 port="3388" && country=CN 非常实用。
• 证书相关搜索：cert="关键词" 功能可以帮助用户查找特定证书信息，例如查找包含敏感关键词的 HTTPS 证书，这在漏洞挖掘中非常有用。
• 端口组合与精确匹配：ports="3306,443,22" 用于查找同时开放多个端口的 IP，而 ports=="3306,443,22" 确保仅开放这些端口，不包含其他端口，适合精确资产定位。
• IP 段搜索：通过 ip="IP地址/段" 可以快速定位特定网络范围内的资产，例如 ip="120.27.6.1/24"，这在企业内部资产盘点中非常有效。

学习与扩展资源

为了进一步提升 FOFA 的使用效率，建议参考以下资源：

• 官方文档：FOFA 提供详细的官方帮助文档，地址为 https://fofa.so/help，涵盖搜索语法、API 使用和常见问题解答。
• Awesome-FOFA GitHub 仓库：该仓库（https://github.com/FofaInfo/Awesome-FOFA）收集了 FOFA 的使用技巧、常见场景和 FAQ，包括但不限于：
  • 如何获取免费 F-point。
  • 如何使用 FOFA 发现免费 LLM 资源。
  • 提升 FOFA 搜索效率的新方法。
  • 如何独立刷新资产。
  • 模糊搜索的正确使用方式。
  • 通过证书有效消除资产发现中的干扰。
  • 从“上帝视角”进行资产盘点。
  • 批量获取大量资产的最佳方法。
  • 使用 FOFA 进行威胁情报发现的综合指南。
  • 实际资产扩展案例，如追踪“银狐”APT、Sidewinder APT 等。

这些资源涵盖了从基础到高级的多种使用场景，适合不同层次的用户深入学习。

注意事项与最佳实践

在使用 FOFA 时，建议注意以下几点以提高效率：

• 搜索结果可能包含大量数据，建议使用逻辑运算符和字段过滤（如 &&、||）来缩小范围。
• 对于复杂查询，建议先参考官方文档或社区案例，确保语法正确。
• FOFA 的数据更新频率较高，建议定期检查资产状态，结合 cert.is_valid 等字段判断证书有效性。

总结

FOFA 作为一个强大的网络空间搜索引擎，其使用技巧涵盖了基础字段搜索、逻辑运算符组合和高级资产定位等多个方面。通过掌握上述技巧，用户可以更高效地进行资产发现、漏洞分析和威胁情报研究。结合官方文档和社区资源（如 Awesome-FOFA 仓库），用户可以不断提升使用能力，探索网络空间的更多可能性。

引用来源：

• FOFA 网络空间搜索引擎教程：https://programmerall.com/article/15361851214/
• 开始使用 FOFA：初学者指南：https://medium.com/@fofabot/get-started-with-fofa-a-beginners-guide-3e4d3576d14d
• Awesome-FOFA GitHub 仓库：https://github.com/FofaInfo/Awesome-FOFA