一.FOFA
官网描述:FOFA-网络空间资产搜索引擎是北京华顺信安推出的一款通过对全球网络对外开放服务的资产进行主动或被动方式探测、抓取、存储,分析整理不同种类的网络空间资产指纹信息(规则),并对符合规则的资产进行统计分析,进而快速检索全球网络空间资产的产品。它能够帮助用户迅速进行网络资产匹配,快速开展网络空间威胁态势感知、漏洞影响范围分析、应用分布统计、应用流行度排名统计等工作。
fofa: https://fofa.info/
1.基础类
| 基础类(General) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| ip | ip="1.1.1.1" | 通过单一IPv4地址进行查询 | ✓ | ✓ | - |
| ip="220.181.111.1/24" | 通过IPv4 C段进行查询 | ✓ | ✓ | - | |
| ip="2600:9000:202a:2600:18:4ab7:f600:93a1" | 通过单一Ipv6地址进行查询 | ✓ | ✓ | - | |
| port | port="6379" | 通过端口号进行查询 | ✓ | ✓ | ✓ |
| domain | domain="qq.com" | 通过根域名进行查询 | ✓ | ✓ | ✓ |
| host | host=".fofa.info" | 通过主机名进行查询 | ✓ | ✓ | ✓ |
| os | os="centos" | 通过操作系统进行查询 | ✓ | ✓ | ✓ |
| server | server="Microsoft-IIS/10" | 通过服务器进行查询 | ✓ | ✓ | ✓ |
| asn | asn="19551" | 通过自治系统号进行搜索 | ✓ | ✓ | ✓ |
| org | org="LLC Baxet" | 通过所属组织进行查询 | ✓ | ✓ | ✓ |
| is_domain | is_domain=true | 筛选拥有域名的资产 | ✓ | - | - |
| is_domain=false | 筛选没有域名的资产 | ✓ | - | - | |
| is_ipv6 | is_ipv6=true | 筛选是ipv6的资产 | ✓ | - | - |
| is_ipv6=false | 筛选是ipv4的资产 | ✓ | - | - | |
2.标记类
| 标记类(Special Label) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| app | app="Microsoft-Exchange" | 通过FOFA整理的规则进行查询 | ✓ | - | - |
| fid | fid="sSXXGNUO2FefBTcCLIT/2Q==" | 通过FOFA聚合的站点指纹进行查询 | ✓ | ✓ | - |
| product | product="NGINX" | 通过FOFA标记的产品名进行查询 | ✓ | ✓ | - |
| category | category="服务" | 通过FOFA标记的分类进行查询 | ✓ | ✓ | - |
| type | type="service" | 筛选协议资产 | ✓ | - | - |
| type="subdomain" | 筛选服务(网站类)资产 | ✓ | - | - | |
| cloud_name | cloud_name="Aliyundun" | 通过云服务商进行查询 | ✓ | ✓ | ✓ |
| is_cloud | is_cloud=true | 筛选是云服务的资产 | ✓ | - | - |
| is_cloud=false | 筛选不是云服务的资产 | ✓ | - | - | |
| is_fraud | is_fraud=true | 筛选是仿冒垃圾站群的资产 (专业版及以上) | ✓ | - | - |
| is_fraud=false | 筛选不是仿冒垃圾站群的资产(已默认筛选) | ✓ | - | - | |
| is_honeypot | is_honeypot=true | 筛选是蜜罐的资产 (专业版及以上) | ✓ | - | - |
| is_honeypot=false | 筛选不是蜜罐的资产(已默认筛选) | ✓ | - | - | |
3.协议类
| 协议类 (type=service) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| protocol | protocol="quic" | 通过协议名称进行查询 | ✓ | ✓ | ✓ |
| banner | banner="users" | 通过协议返回信息进行查询 | ✓ | ✓ | ✓ |
| base_protocol | base_protocol="udp" | 查询传输层为udp协议的资产 | ✓ | ✓ | - |
| base_protocol="tcp" | 查询传输层为tcp协议的资产 | ✓ | ✓ | - | |
4.网站类
| 网站类(type=subdomain) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| title | title="beijing" | 通过网站标题进行查询 | ✓ | ✓ | ✓ |
| header | header="elastic" | 通过响应标头进行查询 | ✓ | ✓ | ✓ |
| header_hash | header_hash="1258854265" | 通过http/https响应头计算的hash值进行查询 (个人版及以上) | ✓ | ✓ | ✓ |
| body | body="网络空间测绘" | 通过HTML正文进行查询 | ✓ | ✓ | - |
| body_hash | body_hash="-2090962452" | 通过HTML正文计算的hash值进行查询 | ✓ | ✓ | - |
| js_name | js_name="js/jquery.js" | 通过HTML正文包含的JS进行查询 | ✓ | ✓ | ✓ |
| js_md5 | js_md5="82ac3f14327a8b7ba49baa208d4eaa15" | 通过JS源码进行查询 | ✓ | ✓ | ✓ |
| cname | cname="ap21.inst.siteforce.com" | 通过别名记录进行查询 | ✓ | ✓ | ✓ |
| cname_domain | cname_domain="siteforce.com" | 通过别名记录解析的主域名进行查询 | ✓ | ✓ | ✓ |
| icon_hash | icon_hash="-247388890" | 通过网站图标的hash值进行查询 | ✓ | ✓ | - |
| status_code | status_code="402" | 筛选服务状态为402的服务(网站)资产 | ✓ | ✓ | - |
| icp | icp="京ICP证030173号" | 通过HTML正文包含的ICP备案号进行查询 | ✓ | ✓ | ✓ |
| sdk_hash | sdk_hash=="Mkb4Ms4R96glv/T6TRzwPWh3UDatBqeF" | 通过网站嵌入的第三方代码计算的hash值进行查询 (商业版及以上) | ✓ | ✓ | - |
5.地理位置类
| 地理位置(Location) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| country | country="CN" | 通过国家的简称代码进行查询 | ✓ | ✓ | - |
| country="中国" | 通过国家中文名称进行查询 | ✓ | ✓ | - | |
| region | region="Zhejiang" | 通过省份/地区英文名称进行查询 | ✓ | ✓ | - |
| region="浙江" | 通过省份/地区中文名称进行查询(仅支持中国地区) | ✓ | ✓ | - | |
| city | city="Hangzhou" | 通过城市英文名称进行查询 | ✓ | ✓ | - |
6.证书类
| 证书类 | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| cert | cert="baidu" | 通过证书进行查询 | ✓ | ✓ | ✓ |
| cert.subject | cert.subject="Oracle Corporation" | 通过证书的持有者进行查询 | ✓ | ✓ | ✓ |
| cert.issuer | cert.issuer="DigiCert" | 通过证书的颁发者进行查询 | ✓ | ✓ | ✓ |
| cert.subject.org | cert.subject.org="Oracle Corporation" | 通过证书持有者的组织进行查询 | ✓ | ✓ | ✓ |
| cert.subject.cn | cert.subject.cn="baidu.com" | 通过证书持有者的通用名称进行查询 | ✓ | ✓ | ✓ |
| cert.issuer.org | cert.issuer.org="cPanel, Inc." | 通过证书颁发者的组织进行查询 | ✓ | ✓ | ✓ |
| cert.issuer.cn | cert.issuer.cn="Synology Inc. CA" | 通过证书颁发者的通用名称进行查询 | ✓ | ✓ | ✓ |
| cert.is_valid | cert.is_valid=true | 筛选证书是有效证书的资产 (个人版及以上) | ✓ | - | - |
| cert.is_valid=false | 筛选证书是无效证书的资产 (个人版及以上) | ✓ | - | - | |
| cert.is_match | cert.is_match=true | 筛选证书和域名匹配的资产 (个人版及以上) | ✓ | - | - |
| cert.is_match=false | 筛选证书和域名不匹配的资产 (个人版及以上) | ✓ | - | - | |
| cert.is_expired | cert.is_expired=true | 筛选证书已过期的资产 (个人版及以上) | ✓ | - | - |
| cert.is_expired=false | 筛选证书未过期的资产 (个人版及以上) | ✓ | - | - | |
| jarm | jarm="2ad2ad0002ad2ad22c2ad2ad2ad2ad2eac92ec34bcc0cf7520e97547f83e81" | 通过JARM指纹进行查询 | ✓ | ✓ | ✓ |
| tls.version | tls.version="TLS 1.3" | 通过tls的协议版本进行查询 | ✓ | ✓ | - |
| tls.ja3s | tls.ja3s="15af977ce25de452b96affa2addb1036" | 通过tls的ja3s指纹进行查询 | ✓ | ✓ | ✓ |
7.时间类
| 时间类(Last update time) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| after | after="2023-01-01" | 筛选某一时间之后有更新的资产 | ✓ | - | - |
| before | before="2023-12-01" | 筛选某一时间之前有更新的资产 | ✓ | - | - |
| after&before | after="2023-01-01" && before="2023-12-01" | 筛选某一时间区间有更新的资产 | ✓ | - | - |
8.独立IP语法
| 独立IP语法(独立IP系列语法,不可和上面其他语法共用) | |||||
|---|---|---|---|---|---|
| 语法 | 例句 | 用途说明 | = | != | *= |
| port_size | port_size="6" | 筛选开放端口数量等于6个的独立IP (个人版及以上) | ✓ | ✓ | - |
| port_size_gt | port_size_gt="6" | 筛选开放端口数量大于6个的独立IP (个人版及以上) | ✓ | - | - |
| port_size_lt | port_size_lt="12" | 筛选开放端口数量小于12个的独立IP (个人版及以上) | ✓ | - | - |
| ip_ports | ip_ports="80,161" | 筛选同时开放不同端口的独立IP | ✓ | - | - |
| ip_country | ip_country="CN" | 通过国家的简称代码进行查询独立IP | ✓ | - | - |
| ip_region | ip_region="Zhejiang" | 通过省份/地区英文名称进行查询独立IP | ✓ | - | - |
| ip_city | ip_city="Hangzhou" | 通过城市英文名称进行查询独立IP | ✓ | - | - |
| ip_after | ip_after="2021-03-18" | 筛选某一时间之后有更新的独立IP | ✓ | - | - |
| ip_before | ip_before="2019-09-09" | 筛选某一时间之前有更新的独立IP | ✓ | - | - |
二.鹰图
奇安信网络空间测绘鹰图平台(hunter)可对全球暴露在互联网上的服务器和设备进行资产探测、端口探活、协议解析、应用识别。平台通过网络空间测绘技术,将地理空间、社会空间、网络空间相互映射,将虚拟的网络空间绘制成动态、实时、有效的网络空间地图,实现互联网资产的可查、可定位,帮助客户解决互联资产暴露面梳理的难题。
搜索技巧
| = | 模糊查询,表示查询包含关键词的资产 |
| == | 精确查询,表示查询有且仅有关键词的资产 |
| != | 模糊剔除,表示剔除包含关键词的资产。使用!=""时,可查询值不为空的情况 |
| !== | 精确剔除,表示剔除有且仅有关键词的资产 |
| &&、|| | 多种条件组合查询,&&同and,表示和;||同or,表示或 |
| () | 括号内表示查询优先级最高 |
1. IP类
| ip="1.1.1.1" | 搜索IP为 ”1.1.1.1”的资产 |
| ip="220.181.111.0/24" | 搜索网段为"220.181.111.0"的C段资产 |
| ip.port="80" | 搜索开放端口为”80“的资产 |
| ip.country="中国" 或 ip.country="CN" | 搜索IP对应主机所在国为”中国“的资产 |
| ip.province="江苏" | 搜索IP对应主机在江苏省的资产 |
| ip.city="北京" | 搜索IP对应主机所在城市为”北京“市的资产 |
| ip.isp="电信" | 搜索运营商为”中国电信”的资产 |
| ip.os="Windows" | 搜索操作系统标记为”Windows“的资产 |
| app="Hikvision 海康威视 Firmware 5.0+" && ip.ports="8000" | 检索使用了Hikvision且ip开放8000端口的资产 |
| ip.port_count>"2" hot | 搜索开放端口大于2的IP(支持等于、大于、小于) |
| ip.ports="80" && ip.ports="443" | 查询开放了80和443端口号的资产 |
| ip.tag="CDN"newhot特色 | 查询包含IP标签"CDN"的资产 |
2.domain类
| is_domain=true | 搜索域名标记不为空的资产 |
| domain="qianxin.com" | 搜索域名包含"qianxin.com"的网站 |
| domain.suffix="qianxin.com" hot | 搜索主域为"qianxin.com"的网站 |
| domain.status="clientDeleteProhibited"new | 搜索域名状态为"client Delete Prohibited"的网站 |
| domain.whois_server="whois.markmonitor.com"new | 搜索whois服务器为"whois.markmonitor.com"的网站 |
| domain.name_server="ns1.qq.com"new | 搜索名称服务器为"ns1.qq.com"的网站 |
| domain.created_date="2022-06-01"new | 搜索域名创建时间为"2022-06-01"的网站 |
| domain.expires_date="2022-06-01"new | 搜索域名到期时间为"2022-06-01"的网站 |
| domain.updated_date="2022-06-01"new | 搜索域名更新时间为"2022-06-01"的网站 |
| domain.cname="a6c56dbcc1f22283.qaxanyu.com"new | 搜索cname包含“a6c56dbcc1f22283.qaxanyu.com”的网站 |
| is_domain.cname=truenew | 搜索含有cname解析记录的网站 |
3.WEB网站信息
| is_web=truenewhot | 搜索web资产 |
| web.title="北京" | 从网站标题中搜索“北京” |
| web.body="网络空间测绘" | 搜索网站正文包含”网络空间测绘“的资产 |
| after="2021-01-01" && before="2021-12-31" | 搜索2021年的资产 |
| web.similar="baidu.com:443"hot特色 | 查询与baidu.com:443网站的特征相似的资产 |
| web.similar_icon=="17262739310191283300"hot特色 | 查询网站icon与该icon相似的资产 |
| web.icon="22eeab765346f14faf564a4709f98548"hot | 查询网站icon与该icon相同的资产 |
| web.similar_id="3322dfb483ea6fd250b29de488969b35"hot特色 | 查询与该网页相似的资产 |
| web.tag="登录页面"newhot特色 | 查询包含资产标签"登录页面"的资产 |
三.钟馗之眼
ZoomEye(“钟馗之眼”)是知道创宇旗下404实验室驱动打造的网络空间搜索引擎。通过分布在全球的大量测绘节点,针对全球范围内的IPv4、IPv6地址库及网站域名库进行24小时不间断探测、识别,根据对多个服务端口协议进行测绘,最终实现对整体或局部地区的网络空间画像。
1.证书
2.IP域名
3.指纹类
还有国外Shadan https://www.shodan.io(我们称之为:撒旦),这也是一个非常优秀的主机搜索引擎,这里不列举,语法大致原理都是相似的
参考资料:ZoomEye_百度百科;网络空间测绘,网络空间安全搜索引擎,网络空间搜索引擎,安全态势感知 - FOFA网络空间测绘系统 ; 鹰图平台 ; ZoomEye - Cyberspace Search Engine
标签:IP,--,资产,查询,-----,网络空间,ip,筛选,搜索引擎 From: https://blog.csdn.net/weixin_44938909/article/details/143686691