1. 项目概述从“大海捞针”到“精准制导”在渗透测试和信息安全研究领域最让人头疼的往往不是漏洞的利用本身而是第一步目标在哪里早期我们可能依赖于搜索引擎的“inurl:”、“intitle:”等基础语法或者通过子域名爆破、端口扫描等方式进行资产收集这个过程耗时耗力效率低下我称之为“大海捞针”阶段。后来网络空间测绘引擎的出现彻底改变了这个局面而FOFA正是其中的佼佼者。FOFA本质上是一个网络空间搜索引擎它通过持续不断地扫描和索引互联网上的资产将IP、端口、服务、组件、标题、证书甚至网页内容中的特定关键字等信息进行结构化存储。我们作为安全从业者就可以通过一套强大且灵活的查询语法像使用Google搜索一样去精准定位我们感兴趣的目标资产。这不仅仅是“找网站”更是“找特定版本的Apache Tomcat”、“找使用了某款存在已知漏洞插件的WordPress站点”、“找配置了特定响应头的API接口”。这次要聊的就是如何将FOFA从“一个搜索工具”升级为“渗透测试的精准制导武器”。核心在于理解并熟练运用其查询语法将模糊的安全需求比如“我想找存在Log4j2漏洞的资产”转化为一条条可执行、高精度的FOFA查询语句从而在浩如烟海的网络空间中快速锁定最具价值的测试目标极大提升前期信息收集和漏洞挖掘的效率。2. FOFA语法核心精解构建你的搜索“武器库”FOFA语法的强大在于其将资产的多维度属性抽象成了可查询的字段。掌握这些核心字段和组合技巧是进行精准定位的基础。我们可以把这些字段理解为狙击枪上的不同瞄准镜和参数调节钮。2.1 基础定位字段目标的“身份证”这些字段用于最直接的目标定位类似于通过身份证号、姓名、住址找人。host: 这是最常用的字段之一用于匹配域名或主机名。支持通配符*。例如host.edu.cn可以找到所有以.edu.cn结尾的域名这对于教育行业的资产梳理非常有帮助。而hostvuln.demo.com则能精准定位到特定子域名。ip: 通过IP地址或CIDR网段进行搜索。例如ip192.168.1.1或ip203.0.113.0/24。在针对特定企业或地区的资产进行测试时先通过ASN号或IP段收集再用此字段过滤是常规操作。port: 指定端口号。例如port8080查找开放了8080端口的服务。通常不单独使用而是与其他字段结合如port8080 titleTomcat。country/region: 按国家或地区代码过滤。countryCN查找位于中国的资产regionZhejiang则定位到浙江省。在合规测试或地域性分析中必不可少。2.2 服务与应用识别字段目标的“职业与着装”通过服务特征来识别资产就像通过一个人的制服或工具判断其职业。title: 匹配HTML页面标题title标签内容。这是识别Web应用最直接的方式之一。例如title后台管理、titleLogin或titleApache Tomcat/8.5.69。后者直接暴露了具体的Tomcat版本为漏洞利用提供了关键信息。server: 匹配HTTP响应头中的Server字段。例如servernginx、serverMicrosoft-IIS/10.0。注意表示完全匹配表示模糊匹配。精准的服务器版本信息是寻找版本特异性漏洞的钥匙。banner: 这是最强大的字段之一它匹配的是服务端返回的原始横幅信息不仅限于HTTP还包括FTP、SSH、Redis、数据库等任何网络服务的欢迎信息或错误信息。例如banner220 ProFTPD可以找到ProFTPD服务而bannerSSH-2.0-OpenSSH_7.4则精准定位了OpenSSH的特定版本。header: 匹配完整的HTTP响应头。可以用它来搜索特定的安全头配置缺失例如headerX-Frame-Options查找设置了该头的站点或者用header!X-Content-Type-Options: nosniff来寻找可能缺少此安全头的站点。cert: 匹配SSL/TLS证书信息。例如certLets Encrypt或cert*.alibaba.com。通过证书的通用名称CN或颁发者可以高效地梳理出一个大型企业的所有子域名资产这是传统子域名爆破难以比拟的效率。2.3 内容与漏洞特征字段目标的“内部秘密”深入资产内部寻找页面内容、代码中暴露的敏感信息或漏洞特征。body: 匹配HTTP响应正文即网页HTML源码。这是挖掘信息泄露漏洞的利器。例如bodypassword寻找源码中可能硬编码密码的页面。bodyphpinfo()寻找暴露了phpinfo()信息的页面这类页面通常会泄露大量服务器配置。bodyswagger-ui或bodyswagger.json用于寻找Swagger API文档这常常是未授权访问漏洞的来源。bodyindex of /寻找开启了目录列表的站点可能导致敏感文件泄露。fid: FOFA内置的指纹ID。FOFA为成千上万的Web应用、中间件、CMS如WordPress, Joomla, ThinkPHP等建立了指纹库。直接使用fid可以极精准地定位。例如fidThinkPHP可以找到所有使用ThinkPHP框架的站点。你需要通过FOFA的指纹库或社区来查找特定应用的fid。icon_hash: 通过计算网站favicon.ico的MMH3哈希值来定位资产。这是一个非常巧妙且精准的方法。即使IP、域名变了只要favicon没变就能被关联发现。很多企业内网系统的图标是统一的通过此方法可以在互联网上发现暴露的同类内网系统。你可以使用工具计算图标的哈希值然后搜索icon_hash-123456789。2.4 逻辑运算符与高级技巧组合你的“战术”单个字段的搜索是基础真正的威力在于组合使用FOFA支持的逻辑运算符。与: 必须同时满足多个条件。titleDashboard bodyDrupal查找使用Drupal且标题为Dashboard的站点很可能是后台。或||: 满足任意一个条件即可。servernginx/1.18.0 || servernginx/1.16.0查找这两个特定存在漏洞版本的Nginx。非!: 排除特定条件。host.gov.cn server!Apache查找政府域名下不使用Apache服务器的资产。括号(): 改变运算优先级构建复杂查询。(titleLogin || titleSign in) countryUS查找美国地区标题为登录或注册的页面。正则表达式/regex/: 更灵活的匹配。title/.*[Vv]ersion.*/匹配标题中包含“version”的页面。时间范围after/before: 按资产更新时间筛选。after2024-01-01 host.com查找2024年后新发现的.com域名资产用于追踪新上线或发生变化的资产。实操心得构建查询语句的思维过程不要试图一步写出完美的复杂语句。我通常采用“迭代法”先从一个最宽泛的核心特征开始如fidThinkPHP得到结果后观察结果集中资产的共同点比如很多都开放了8080端口或者标题有规律再用逐步增加限制条件如 port8080或者用||扩展同类特征直到结果集变得精炼且符合预期。这个过程本身也是对目标资产画像的深化理解。3. 实战演练从漏洞概念到FOFA查询理论说再多不如看几个实实在在的例子。我们结合常见的漏洞场景看看如何将漏洞利用思路翻译成FOFA的“抓捕令”。3.1 场景一定位特定CMS的未授权访问漏洞以“Swagger UI未授权访问”为例。Swagger是一个流行的API文档工具如果配置不当其UI界面通常位于/swagger-ui.html或/v2/api-docs等路径可能无需认证即可访问导致API接口信息泄露。漏洞利用思路找到部署了Swagger UI且未设置访问控制的站点。FOFA查询构建特征识别Swagger UI有非常独特的页面标题和正文内容。标题常包含“Swagger UI”正文会包含“swagger-ui”的CSS/JS引用或swagger.json路径。构建语句我们可以组合title和body字段进行精准定位。基础查询titleSwagger UI。这个已经能抓到很多。增强查询更精准(titleSwagger UI || bodyswagger-ui) bodyswagger.json。这个语句的含义是寻找标题为“Swagger UI”或者页面内容包含“swagger-ui”关键字并且页面内容还包含“swagger.json”的资产。这大大提高了命中率排除了仅仅标题相似但并非真正Swagger的页面。结果验证将搜索到的目标URL后面手动拼接/swagger-ui.html或/v2/api-docs进行访问确认是否存在未授权访问。3.2 场景二寻找存在已知漏洞的特定版本组件以寻找存在历史漏洞的Apache Struts2框架为例例如S2-045, S2-046等。不同版本的Struts2有其特定的Jar包和特征。漏洞利用思路找到使用了存在漏洞的Struts2版本的Web应用。FOFA查询构建特征识别Struts2应用通常会在HTTP响应头、错误页面或JSP页面中留下特征。例如某些版本的错误页面会包含“Struts Problem Report”或者页面中会引入struts-tags的标签库。构建语句通用搜索Struts2headerStruts || bodystruts-tags。针对更具体的版本特征需要研究漏洞影响版本的具体指纹例如S2-045影响Struts 2.3.5 – 2.3.31, 2.5 – 2.5.10。我们可以搜索这些版本可能使用的特定库文件路径。body/struts2-showcase/或者bodyorg.apache.struts2。更精准的做法是结合fid如果FOFA指纹库有对应版本的指纹。一个实战中常用的技巧是搜索默认示例或特定文件titleStruts 2 Showcase或bodystruts2-blank.war。这些默认应用往往版本特征明显且安全意识薄弱。注意事项这种搜索需要你对漏洞影响组件的版本指纹有深入研究。有时直接搜索版本号字符串如body2.3.24也可能有效但精度不一定高。3.3 场景三挖掘源代码与敏感文件泄露“Sourcemap文件泄露”是一个经典的案例。Sourcemap文件.js.map用于将压缩后的JavaScript代码映射回原始源代码如果部署时误将其放在公开目录攻击者可以借此还原出完整的、未混淆的源码其中可能包含API密钥、后端逻辑、敏感路径等硬编码信息。漏洞利用思路找到存在.js.map文件且该文件可被公开访问的网站。FOFA查询构建特征识别现代前端构建工具如Webpack生成的JS文件其末尾通常会有一行注释指明对应的Sourcemap文件例如//# sourceMappingURLmain.abc123.js.map。构建语句我们直接搜索包含这行特征注释的JS文件内容。bodysourceMappingURL body.js.map。这个查询会寻找响应体中同时包含这两个关键词的资产。注意这里搜索的body是HTTP响应体所以如果直接请求一个.js文件其内容包含注释就是响应体。为了更精确可以限制域名和路径host.example.com bodysourceMappingURL针对特定目标进行排查。利用流程从FOFA结果中找到一个JS文件URL访问它查看文件末尾是否有sourceMappingURL注释。然后直接访问注释中指明的.map文件路径通常是相对于JS文件的路径如果返回了JSON格式的Sourcemap文件则漏洞存在。随后可以使用reverse-sourcemap等工具还原源代码。3.4 场景四企业资产梳理与边缘资产发现“边缘资产”是指那些不属于企业核心业务、容易被遗忘但依然属于企业资产范围的系统如测试环境、临时站点、老旧服务器、第三方服务配置页面等。这些资产往往安全防护薄弱是攻击者绝佳的突破口。漏洞利用思路利用证书、特定技术栈、备案信息等全面梳理一个企业的所有互联网资产。FOFA查询构建通过证书发现子域名这是最高效的方法。找到目标企业主站查看其SSL证书的颁发者或通用名称。例如阿里巴巴的证书可能包含*.alibaba.com、*.aliyun.com等。查询cert*.alibaba.com。这会列出所有使用了包含*.alibaba.com模式证书的域名能发现大量未在公开子域名列表中的资产。通过特定技术栈或产品如果知道该企业普遍使用某款自研或特定的系统如某OA、某CRM可以通过title、body关键字或fid来搜索。查询bodyPowered by 企业自研OA系统 ip企业IP段。通过备案号或公司名有些网站页脚会包含备案号或公司全称。查询body京ICP备12345678号或bodyXX科技有限公司。组合搜索绘制资产地图将以上方法结合并使用||运算符。综合查询cert*.target.com || bodytarget Inc. || (ipx.x.x.0/24 server企业常用服务器)。导出所有结果进行去重和分类你就得到了一张该企业的初步互联网资产地图。接下来再对地图上的每一个“岛屿”进行细致的漏洞扫描和测试。4. 高级技巧与自动化集成当你能熟练编写单条FOFA语法后可以进一步追求效率和深度这就是高级技巧和自动化发挥作用的地方。4.1 语法优化与结果去噪直接搜索往往伴随大量无关结果噪声。优化语法是门艺术。善用排除法!搜索默认管理后台时titleadmin会包含大量“admin-”开头的英文文章页面。可以优化为titleadmin body!blog body!article body!wordpress排除常见的内容管理系统页面。结合端口与服务搜索“Tomcat管理后台”除了titleTomcat加上端口限制会更准titleTomcat port8080。甚至可以用(port8080 || port8443)来覆盖HTTP和HTTPS。利用时间筛选新鲜目标在漏洞刚爆出时用after2024-05-01筛选近期活跃的资产进行测试可能发现尚未修复的目标。模糊与精确匹配的权衡是模糊匹配包含是完全匹配。servernginx/1.18会匹配到nginx/1.18.0和nginx/1.18.1而servernginx/1.18.0只匹配完全一致的。根据你的漏洞情报选择。4.2 与渗透测试工作流集成FOFA不应该是一个孤立的工具而应嵌入你的标准化渗透测试流程。信息收集阶段作为资产发现的核心引擎。输入目标企业名称、主域名、IP段使用前述方法进行全方位资产梳理导出URL和IP列表。漏洞扫描阶段将FOFA发现的资产列表尤其是特定组件、特定版本的资产直接导入到你的漏洞扫描器如Nessus, Goby, Xray中进行针对性扫描。例如先用FOFA搜serverApache Tomcat/8.5.0再将结果IP导入扫描器专门检测Tomcat 8.5.0版本的已知漏洞。手工测试与验证阶段对于FOFA发现的疑似脆弱点如Swagger UI、目录列表、特定登录页面直接进行手工访问和简单漏洞验证如尝试默认口令、测试未授权。4.3 通过API实现自动化监控FOFA提供商业API这对于企业安全监控或持续性的漏洞狩猎Bug Bounty至关重要。自动化资产监控编写脚本定期通过API查询cert*.your-company.com after上次查询时间自动发现新增的子域名或资产并及时纳入安全管理范围。漏洞预警监控当有新的高危漏洞如Log4j2爆发时立即根据漏洞影响组件的指纹生成FOFA查询语句如bodylog4j bodyJndiLookup通过API快速全网扫描评估自身资产受影响情况。这比等待扫描器更新规则库要快得多。批量获取与处理API可以以JSON格式返回结构化数据方便你写Python脚本进行后续处理比如提取标题、IP、端口自动生成报告或与其他情报平台关联分析。一个简单的Python脚本示例用于查询并提取数据需替换为你的API邮箱和密钥import requests import base64 import json # FOFA API配置 email your_emailexample.com key your_api_key query bodyphpinfo() # 你的FOFA查询语句 base64_query base64.b64encode(query.encode()).decode() url fhttps://fofa.info/api/v1/search/all?email{email}key{key}qbase64{base64_query}size1000 response requests.get(url) data response.json() if data[error]: print(fError: {data[errmsg]}) else: for result in data[results]: # 结果字段顺序通常为[host, ip, port, protocol, country, title...] host, ip, port result[0], result[1], result[2] print(f{host} ({ip}:{port}))5. 伦理、合规与常见陷阱强大的能力意味着重大的责任。使用FOFA进行渗透测试必须严格在合法合规的框架内进行。5.1 法律与道德边界授权是前提绝对禁止对任何未获得明确书面授权的目标进行任何形式的扫描、探测或测试。这不仅是职业道德更是法律红线。FOFA搜索本身是公开信息检索但针对搜索结果进行后续的漏洞验证或利用必须建立在授权基础上。遵守平台规则FOFA用户协议明确禁止将服务用于非法目的。滥用API进行高频、恶意扫描可能导致账号被封禁。最小化影响原则即使在授权测试中也应避免使用可能对目标系统造成负载或破坏的扫描策略如全端口暴力扫描、大量并发请求。优先使用FOFA这种非侵入式的信息收集方式。5.2 常见陷阱与规避方法即使技术正确也可能踩坑。陷阱一结果过时或无效FOFA的数据库并非实时更新可能存在资产已下线、IP已变更的情况。查询到的目标在测试前应用ping、curl -I获取HTTP头等方式进行快速存活验证。陷阱二蜜罐Honeypot网络安全人员会故意设置一些存在“漏洞”的系统来诱捕攻击者。如果某个目标看起来“漏洞百出”且极其明显如一个公网IP的Struts2漏洞页面需要保持警惕。检查其IP是否属于已知的云服务商、数据中心观察其响应是否过于“标准”。陷阱三语法错误导致漏报FOFA语法对大小写、空格、引号敏感。titlelogin和titleLogin结果不同。多使用||来覆盖不同情况如titlelogin || titleLogin || titleLOGIN。陷阱四忽略资产关联性只盯着一个域名看。通过cert、ip网段、body中的公司名等字段发现关联资产。攻击面往往存在于这些关联的、不被重视的边缘资产上。陷阱五对漏洞指纹理解不深搜索“Weblogic漏洞”如果只用bodyWebLogic会漏掉很多。需要深入研究Weblogic不同版本的默认路径、错误页面特征、Javascript文件特征构建更精准的指纹如body/console/framework/skins/或headerWebLogic。我的个人体会FOFA这类网络空间测绘工具把渗透测试从“体力活”变成了“技术活脑力活”。它的价值不在于替代传统的扫描和手工测试而在于极大地前置和优化了目标筛选的过程。真正考验人的是你如何将一个模糊的威胁情报或漏洞概念通过你对网络协议、Web应用、组件指纹的深刻理解翻译成一条条精准的FOFA查询语句。这个过程本身就是安全研究员核心能力的体现。最后记住工具越强大越要心怀敬畏严守法律与道德的边界。