探索网络安全新技术
攀登黑客技术最高峰

绕过FOFA查询限制的分析方法

前言

t00ls上看到有人公开了一个用go写的工具,可以无限制进行FOFA查询,作者虽然没有开源,针对其中fofa查询我们分析看看。原理很简单,咱们直接使用proxifier全局抓包看看。

抓包过程

设置代理

绕过FOFA查询限制的分析方法-威武网安

设置rule

绕过FOFA查询限制的分析方法-威武网安

抓包

./goon_amd64_mac -mode fofascan -key port="8081" -num=-1

绕过FOFA查询限制的分析方法-威武网安

查看结果

每次请求结果如下:

GET /api/v1/search/all?email=@163.com&key=a30c1dd7ef01722c05f5&qbase64=cG9ydD04MDgxICYmIGJlZm9yZT0yMDIxLTA2LTI5ICYmIGFmdGVyPTIwMjAtMDYtMzA=&size=10000&fields=ip,host,title HTTP/2
Host: fofa.so
Accept-Encoding: gzip, deflate
User-Agent: Go-http-client/2.0
Connection: close

结果分析

解码参数qbase64结果如下:

port=8081 && before=2021-06-29 && after=2020-06-30

通过设置不同的查询语句,来获取结果,结果中会存在重复的数据。

我尝试使用高级会员账号进行查询。

./goon_amd64_mac -mode fofascan -key port="7001" -num=-1

绕过FOFA查询限制的分析方法-威武网安

得到一百万多数据

使用正则截取每行出现的第一个ip

\d*\.\d*\.\d*\d\.\d*\:\d*

绕过FOFA查询限制的分析方法-威武网安

再通过去重得到result,在sublime中排序 [edit – sort lines],查找目标为

^(.+)$[\r\n](^\1$[\r\n]{0, 1})+

替换为

\1\n

最后得到七十万结果

绕过FOFA查询限制的分析方法-威武网安

由于没有对结果进行处理,所以结果中存在大量重复ip,不过通过时间条件来扩大查询结果,这操作还是6的一批。

赞(1) 打赏
版权声明:本文采用知识共享 署名4.0国际许可协议 [BY-NC-SA] 进行授权
文章名称:《绕过FOFA查询限制的分析方法》
文章链接:https://www.wevul.com/441.html
本站所有内容均来自互联网,只限个人技术研究,禁止商业用途,请下载后24小时内删除。

评论 抢沙发

如果文章对你有帮助 可以打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册