1. 认识FOFA网络空间的地图导航第一次接触FOFA时我把它比作网络空间的高德地图。就像我们用地图APP查找附近的餐厅一样FOFA能帮我们快速定位互联网上的各种数字资产。这个由白帽汇推出的专业工具通过持续扫描全网IP和域名构建了一个庞大的网络空间数据库。你可能不知道每天都有数百万台设备接入互联网而传统的人工排查就像用放大镜找蚂蚁。我在去年的一次企业内网资产梳理中用FOFA在10分钟内就完成了过去需要3天的手工统计工作。它不仅能发现网站、服务器这类常见资产还能精准定位摄像头、工控设备等特殊终端。2. 新手必学FOFA基础搜索三板斧2.1 标题搜索直击网站身份证title后台管理这个简单语法背后大有玄机。实测发现约67%的管理系统会在页面标题暴露身份。有次我给客户做安全评估先用这个语法找到了他们未知的5个测试环境后台其中3个竟然使用默认密码。进阶技巧模糊匹配title~admin会匹配admin、administration等变体排除干扰title登录 !title支付宝过滤无关结果2.2 响应头搜索透视服务器基因headerThinkPHP这样的搜索就像给服务器做DNA检测。去年某框架爆出漏洞时我用这个语法半小时就梳理出客户所有受影响系统。更妙的是结合版本号过滤headerThinkPHP 5.0.24。常见宝藏字段Server暴露Web服务器类型X-Powered-By显示编程语言Set-Cookie泄露框架信息2.3 正文内容搜索全网CtrlFbody忘记密码这种搜索相当于在全网执行查找功能。有次排查某OA系统漏洞用bodyOA办公找到了被遗忘的旧版系统。注意中文搜索要用引号包裹避免分词干扰。3. 高手进阶组合搜索的黄金法则3.1 逻辑运算精准狙击目标port3389 countryCN这样的组合拳特别适合定向排查。记得某次护网行动我们用city北京 osWindows快速定位了特定区域的终端设备。实用组合示例找某厂商设备productHikvision after2023-01-01排除测试环境domaincompany.com !titletest3.2 端口搜索发现隐藏入口ports22,80,443这个精确匹配语法帮我发现过配置失误的服务器。对比ports22,80,443包含和ports22,80,443仅包含后者能排除多开端口的干扰项。高危端口清单3306MySQL数据库6379Redis服务9200Elasticsearch3.3 证书搜索穿透CDN伪装cert*.company.com能绕过CDN找到真实IP。去年追踪某攻击链时通过证书中的组织名称cert.organizationXX科技锁定了攻击者控制的服务器。4. 实战演练从漏洞预警到应急响应4.1 漏洞影响范围评估当Log4j漏洞爆发时我用headerApache body${jndi:快速生成受影响资产清单。关键是要把漏洞特征转化为搜索语法比如bodystruts2找Struts框架站点。4.2 资产暴露面梳理给某上市公司做服务梳理时domaincompany.com || hostcompany找出了他们不知道的30多个子域名。配合-排除法更精准domaincompany.com -hosttest4.3 威胁情报收集追踪某恶意软件时通过icon_hash123456找到同类控制端。图标哈希这个冷门功能成了杀手锏相同Web应用即使改头换面也能被识别。5. 避坑指南我踩过的那些雷搜索语法看似简单但有些细节坑我摔过好几次。比如搜索port8080时结果中可能混入非Web服务应该加上 protocolhttp限定。时间范围筛选也容易出错after2023实际匹配的是2023-01-01 00:00:00之后的数据。另一个常见误区是过度依赖单条件搜索。有次找某VPN设备编者注此处已规避敏感词只用title登录得到10万结果加上 bodyclient后才精准定位。建议养成组合搜索的习惯像拼乐高一样逐步添加条件模块。最后提醒注意法律边界建议在ip公司IP段范围内使用。有次我手快忘了加IP限定差点扫描到无关企业资产。现在养成了先设置company客户名称再开始搜索的强迫症。
